Содержание

Как придумать сложный и надежный пароль? 2 верных способа.

В век развитых информационных технологий и интернета, трудно представить человека не имеющего электронной почты или аккаунта в социальных сетях и для каждого необходимо придумать уникальный и надежный пароль.

Для генерации паролей, пользователи прибегают к множеству методов, а кто-то и вовсе пользуется стандартными «qwerty» или дате рождения, не обращая внимания на их «взломоустойчивость» и простоту запоминания.

Время подбора – основной индикатор надежности пароля

Большинство сайтов, требующих создания учетной записи, имеют четкие требования для размеров и сложности пароля, у ВК, например, он должен состоять не менее чем из 6 символов, но на сколько это безопасно?

Используемые символы6 знаков8 знаков10 знаков12 знаков
Латиница (только маленькие или большие)30 сек6 часов160 суток300 лет
Латиница (маленькие и большие)35 мин60 суток460 летБолее 1 млн. лет
Латиница (разный регистр и цифры)100 мин255 суток2,700 летБолее 10 млн. лет
Латиница (цифры, разный регистр и знаки препинания)3 часа530 суток6700 летБолее 30 млн. лет
Латиница (цифры, разный регистр, знаки препинания и скобки)7,5 часов5,5 лет34000 летБолее 200 млн. лет

Внимательно изучив данные таблицы, приходим к выводу – необходимо создать «ключ доступа» минимум из 12 символов, включающий в себя латинские символы, цифры и знаки препинания. Но как это сделать, ведь выдумывать такое – никакой фантазии не хватит, поэтому мы плавно переходим к методам генерации.

Генератор паролей

Создавая пароль с помощью генератора, вы получаете подобранную случайным образом комбинацию символов и цифр, которую будет сложно «взломать» и невозможно запомнить. Безопасность требует жертв, поэтому минусы с запоминанием мы опустим.

Предложений среди программ для генерации паролей огромное множество, я остановился на сервисе genpass.hyperione.com, по нескольким причинам:

  1. Полностью бесплатный.
  2. Множество настроек.
  3. Есть онлайн версия, программа для компьютера и расширения для всех популярных браузеров.
  4. Не сохраняет ключи, сгенерированные пользователями.

Рассматривать функционал будем на версии для компьютеров.

После скачивания и запуска, первое что бросается в глаза – программа не требует установки, это весомый плюс.

Создать сложный пароль – это пол дела, его необходимо надежно сохранить — hyperione.com/gde-xranit-paroli/

Интерфейс программы лаконичен и не содержит лишних раздражающих элементов и, что очень важно – рекламы.

Включив все «чек-боксы» и выставив количество символов, нажимаем кнопку «Сгенерировать».

GenPass моментально предоставляет нам список сгенерированных паролей, глядя на который встает вопрос – как это запомнить? Обращаем внимание на функцию «Пароль на основе фразы» и создаем новый список, беря за основу фразу «password».

Получилось более запоминаемо и так же надежно.

Расширения для браузеров, предложенные на сайте, полностью повторяют функционал генератора паролей, выбирайте, чем удобней пользоваться.

Текстовый документ

Вам и не приходило в голову, что для создания надежного пароля можно использовать обычный текстовый документ? А ведь комбинации паролей, созданные подобным образом, ничуть не уступают в надежности вышеописанному способу.

Откройте любой текстовый редактор на своем компьютере и переключитесь на англоязычную раскладку клавиатуры и начните хаотично вводить символы и цифры, поочередно нажимая клавишу «Shift». У меня получилась следующая комбинация, вполне пригодная к использованию в качестве пароля для Вконтакте, например.

Описывать и придумывать дополнительные способы генерации бессмысленно, так как уже описаны самые распространенные и безопасные из них.

Какие комбинации нельзя использовать в качестве пароля

Помните таблицу по времени подбора, опубликованную выше – теперь взглянем на данные, полученные при анализе пострадавших при взломах социальных сетей и прочих сайтов.

Это список самых популярных используемых комбинаций в качестве доступа к аккаунтам. Не сложно догадаться, почему эти аккаунты были взломаны, верно?

Так же, не следует использовать в качестве пароля:

  • Любые данные из аккаунта – Имя и Фамилия, например;
  • Логин в качестве доступа;
  • Свою дату рождения или близких родственников;
  • Популярные слова из обихода.

Я намеренно не стал описывать такие методы генерации, как – первые буквы из детских стихотворений, графические ключи на клавиатуре и иную «экзотику». Пользуйтесь исключительно двумя описанными способами и ваши аккаунты будут в сохранности.

требования к безопасности, рекомендации как правильно создать и пример

Портал «Госуслуги» предлагает возможность гражданам и предприятиям получать услуги организаций государственного сектора в электронном виде. Для безопасного использования нужно придумать безопасный пароль. В статье я расскажу каким он должен быть, какой вариант выбрать, как его правильно набрать или написать на клавиатуре, предоставлю примеры и образцы.

Программа была запущена несколько лет назад. Она постоянно развивается, регулярно появляются новые сервисы. Сейчас оплатить налоги, записаться к доктору или проверить очередь в детский сад, получить выписки, справки, подать заявление можно со своего компьютера или смартфона. Преимуществом такого способа взаимоотношения является экономия времени каждого из участников системы.

Какие требования предъявляются к паролю для сайта Госуслуги

Кроме услуг на портале хранится персональная информация о физических и юридических лицах, которая является конфиденциальной и для посторонних доступ к ней строго ограничен.

При создании слабого пароля мошенники могут получить конфиденциальные данные

С введением функционала, связанного с денежными операциями, мошенники получают подступы к личным счетам и суммам участников проекта.

В связи с высокой важностью сохранения тайны о персональных данных, администрация сайте предъявляет особые требования к созданию паролей для входа на портал. Он представляет собой секретное сочетание символов, о котором известно только владельцу личного кабинета.

По установленным правилам, он:

  • имеет длину от 8 символов
  • включает в себя комбинация букв прописных и строчных, а также цифр
  • создан исключительно с использованием латинских символов

Пример каким должен быть надежный пароль: eXqqmB{V. Если он отвечает всем правилам, то все пункты меню подсказок отмечены зеленым цветом.

Как сгенерировать

Когда у пользователя появляются трудности с выбором необходимого сочетания символов, он может воспользоваться функцией автоматического создания пароля. Кнопка для ее активации находится под первым полем и называется «Сгенерировать пароль».

Опция добавлена специально в помощь пользователям. Система настроена таким образом, что сама подберет нужную комбинацию символов. После нажатия на кнопку пароль появляется в правой части экрана под верхним полем.

Пользователю необходимо только скопировать и вставить в поле. Затем еще раз подтвердить его во втором поле.

Обязательно нужно сохранить его в отдельном файле. Если человек предполагает пользоваться порталом не только со своего личного

компьютера, то настоятельно рекомендуют переписать его на листок и положить его в недоступное для других лиц место.

Возможные сложности с генерацией и введением пароля на Госуслугах

Основная проблема, с которой сталкиваются пользователи при регистрации своей учетной записи – несоответствие параметров с общими требованиями. Такое происходит иногда даже после автоматической генерации пароля. Система отказывается его принимать и выдает ошибку «Пароль не соответствует требования безопасности».

Причиной такому поведению платформы служит:

  • Техническая неисправность сайта. Администраторы платформы часто проводят работы, которые вызывают сбои. Они неизбежны, поскольку профилактика и модификация проводится регулярно. Об этом пишут в новостной ленте. Но если информации не указана, то признаком служит непринятие системой пароля, который она сгенерировала сама;
  • Несоблюдение условий конфигурации. Возможно, в комбинации символов кроется ошибка, которую не видно, так как в целях безопасности на экран они выводятся в виде точек. В таких случаях рекомендуют предварительно напечатать примерный пароль в блокноте и затем скопировать его в поле.

Как придумать безопасный пароль, который легко запомнить

Недавно мы писали о том, почему даже не слишком квалифицированные злоумышленники с лёгкостью взламывают пароли большинства посетителей различных интернет-сайтов. Возникает закономерный вопрос: а можно ли придумать такой пароль, который, с одной стороны, был бы достаточно устойчивым ко взлому, а с другой — легко запоминаемым.

Прежде всего стоит помнить о том, что взломать (подобрать, угадать) можно абсолютно любой пароль. Вопрос лишь в ресурсах — вычислительных и временных. Поэтому устойчивость пароля имеет смысл оценивать с точки зрения оправданности затрат на его взлом: если в течение некоторого времени он не поддаётся вскрытию при помощи доступных ресурсов, то его можно считать безопасным.

Для различных категорий пользователей применяются принципиально разные критерии. Для взлома пароля аккаунта простой школьницы в социальной сети никто не будет задействовать столько же ресурсов, сколько для вскрытия учётной записи руководителя крупной фирмы или (тем более) для доступа к каким-то особо защищённым государственным и оборонным сетям. Пароль, который в первом случае можно считать практически абсолютно безопасным, в двух других может быть абсолютно уязвимым. При этом наша абстрактная школьница, разумеется, никогда не будет использовать генератор случайных паролей промышленного класса и менять пароль всякий раз после его ввода.

Поговорим о некоем «среднестатистическом» случае — то есть о пользовательских паролях для интернет-сервисов, которые, оставаясь достаточно стойкими для таких применений, не заставят человека вести образ жизни клинического параноика.

Длина — это главное

В отличие от многих других случаев, для пароля длина — это главное. Пароли длиной до шести символов включительно, составленные из 95 ASCII-символов (26 букв латинского алфавита в обоих регистрах, 10 цифр и 33 служебных символов), взламываются методом полного перебора («грубой силы») на обычном персональном компьютере при помощи «числодробилки» современной видеокарты буквально за считанные минуты. Но добавление даже одного–двух символов уже серьёзно усложняет задачу, удлиняя время перебора до нескольких дней и даже месяцев.

Однако длина — пусть и главный, но далеко не единственный критерий оценки стойкости пароля. Принципиальное значение имеет отсутствие какого-то предсказуемого шаблона в самом наборе и неслучайности в последовательности символов пароля. Мера непредсказуемости появления таких символов носит название «информационной энтропии», и эта величина, рассчитываемая в битах энтропии, позволяет со значительной степенью точности оценить сложность пароля. Так, энтропия на один символ для пароля из всех ASCII-символов составит порядка 6,56 бит; таким образом, сложность 6-символьного пароля будет составлять 39,36 бита энтропии, 7-символьного — уже 45,95 бит, а 8-символьного — 52,48 бит.

Чтобы взломать пароль 52-битной сложности методом перебора, потребуется количество попыток, равное 2 в 52-й степени. При использовании пары современных видеокарт класса GeForce GTX 570, способных подбирать по 1,5 миллиарда паролей в секунду, перебор всех возможных комбинаций займёт примерно пару месяцев непрерывной работы, что, в общем, и даёт представление о стойкости такого пароля.

Однако это касается исключительно паролей, не содержащих каких-то предсказуемых шаблонов, то есть сгенерированных машинно, с теоретически максимальной энтропией. Для поведения же человека типична предсказуемость, поэтому при составлении пароля он подсознательно будет использовать какие-то знакомые сочетания и комбинации цифр, символов и букв. Непроизвольно вспоминаются памятные даты, дни рождения, имена дорогих людей, названия знакомых мест и предметов.

На деле это означает значительно большую уязвимость, поскольку метод «грубого подбора» всегда применяется в комбинации с другими способами взлома, в частности со словарным подбором. При этом использование известных масок и шаблонов значительно упрощает задачу. Помимо обычных словарей и словарей реальных пользовательских паролей, «утёкших» со взломанных сайтов, широко известны маски на подстановку отдельных букв или добавление чисел, популярные числовые последовательности — шаблоны дат, телефонов, индексов, номеров социального страхования, а также многие другие уловки, напрасно кажущиеся их авторам чрезвычайно оригинальными.

По оценкам Национального института стандартов и технологий США (NIST), энтропия первого символа из букв нижнего регистра и цифр в паролях, придуманных человеком, составляет 4 бита, последующих семи — 2 бита, а применение верхнего регистра и служебных символов добавляет ещё 6 битов, что в сумме даёт всего 24 бита, то есть в два с лишним раза меньше по сравнению с теоретическим максимумом для заданного набора символов и длины. То есть время подбора такого пароля даже методом «грубой силы» уменьшается вдвое, в реальности же «гибридная» атака позволит злоумышленнику добиться успеха намного быстрее.

И здесь мы снова возвращаемся к длине: сложность пароля длиной 14 символов теоретически составит 91,84 бита, а длиной 20 символов — уже 131,2 бита, и на взлом таких паролей только методом перебора при существующих вычислительных мощностях уйдёт несколько десятков, а то и сотен лет. Гибридные методики, разумеется, значительно снижают стойкость подобных кодов, а «человеческий фактор» делает их ещё уязвимее. Тем не менее длина делает своё дело: для обычного пользовательского пароля, даже если в нём есть не слишком явные шаблоны, рекомендуемое количество символов на сегодня должно быть не менее 14. Такой пароль будет намного безопасней, чем «суперстойкие» когда-то пароли из 6–8 символов.

Не будьте предсказуемы

После рассуждений о предсказуемости как свойстве человеческой натуры такой совет может прозвучать странно, и тем не менее. Для составления достаточно безопасного пароля вовсе не обязательно устанавливать генераторы и пытаться потом запомнить абракадабру. Можно просто попытаться стать чуть более «внезапными».

Среди самых банальных рекомендаций — не используйте псевдопароли и комбинации псевдопаролей вроде QWERTY, 123456 и тому подобных. Даже если часть такой последовательности будет присутствовать в вашем пароле, это кардинально снизит его безопасность. Недопустима повторяемость отдельных символов и их сочетаний: как цифр, так и чисел, как букв, так и слов.

Самое глупое, что можно придумать, — это вводить в качестве паролей русские слова в латинской раскладке. Если даже пресловутый Punto Switcher способен в реальном времени переключать раскладку, то странно ожидать отсутствия такой возможности у специализированного ПО.

Не используйте предсказуемые числа — даты, номера телефонов и индексы, номера соцстраховок и автомобилей. Поскольку профессиональные взломщики всё-таки отчасти математики, не стоит применять в паролях и какие-то хорошо известные константы — например, число «пи». Числовые последовательности (например, числа Фибоначчи) тоже вряд ли станут хорошей идеей.

Подстановка «похожих» символов в словарные слова не даст никакого эффекта, поскольку все взломщики давно в курсе, что «@» может заменять «a», а «5» — «s». Гораздо более эффективный вариант — исковеркать известные слова каким-то только одному вам понятным способом. Например, превратить «password» в «p&sUprtDt» — типичный шаблон тут отсутствует, поэтому словарный подбор ничего не даст, а если пароль будет достаточно длинным, то и метод «грубой силы» окажется малоэффективным.

В общем, проявите творческий подход, и у вас всё получится. Оценить результаты своих усилий можно, к примеру, на сайте GRC.com, который, в отличие от пародийного интеловского «калькулятора» даёт реальное представление об устойчивости пароля. Разумеется, оценив, придётся придумывать новый пароль — если вы действительно печётесь о безопасности.

Стёпка, хочешь щец?

Даже если вы придумали отличные пароли (а они — в целях вашей же безопасности — должны быть индивидуальны абсолютно для каждого интернет-сервиса), возникает проблема, как же их все запомнить. Конечно, можно воспользоваться встроенной в любой браузер функцией запоминания паролей, но если злоумышленник каким-то образом получит доступ к вашей машине, это будет означать, что он сможет залезть не только на вашу страничку в соцсети, но и, например, в ваш интернет-банкинг.

Некоторые люди обладают фотографической памятью на символы, и для них не составляет труда запомнить даже самую нелепую абракадабру. Другим же приходится пользоваться иным способом, который описан в заголовке этой части статьи. Автор вовсе не сошёл с ума, просто в этом заголовке приведена часть мнемонического правила для запоминания глухих согласных в русском языке: «СТёПКа, ХоЧеШь ЩеЦ? — Фи!» Мнемотехника облегчает запоминание любой информации при помощи ассоциативных связей, подменяя абстрактные данные яркими образами.

Даже самый сложный пароль можно запомнить, используя мнемотехнику, особенно какую-то близкую вам тематику. К примеру, «AsTKp2eshe:)»: «Аркадий съел большую тарелку каши, попросил две ещё, улыбнулся» и т. п. Фразы не обязательно должны быть осмысленными: напротив, чем они абсурднее, тем легче запоминаются. Техник запоминания огромное множество, и если вы освоите хотя бы некоторые из них, они пригодятся вам не только для паролей. И повторим, что это отличный способ запомнить множество сложных паролей.

* * *

Пароли — лишь одно из средств защиты информации, пусть и из числа самых распространённых. Но даже с хорошими паролями нужно уметь правильно обращаться. Среди главных правил «парольной гигиены» — не использовать одинаковые пароли на разных ресурсах и регулярно их менять. Для интернет-сервисов достаточно проводить такую замену раз в два–три месяца, если не считать экстренных ситуаций с утратой компьютера, его взломом или взломом веб-аккаунта.

Не вводите свои пароли на чужих компьютерах, особенно тех, к которым имеет доступ большой или неограниченный круг людей. Даже если коварные злоумышленники не установили там кейлоггеры, запоминающие все нажатия клавиш, в настройках системы, браузера или ПО может быть по умолчанию предусмотрено запоминание всех вводимых паролей, неочевидное для пользователя. Если же вам всё-таки пришлось воспользоваться таким компьютером, поспешите заменить пароль с безопасной машины.

Наконец, никогда и никому не высылайте свои пароли ни электронной почтой, ни через службы мгновенных сообщений: никакой интернет-сервис никогда не потребует от вас прислать ваш же пароль. Если понадобилось переслать пароль знакомым, надиктуйте его голосом по телефону либо пришлите фотографию с мобильного. И снова — в целях безопасности — при возможности сразу же поменяйте такой пароль на новый.

Что делать, если вы попались на мошенничество по электронной почте

Попадание в мошенничество с электронной почтой может случиться с каждым. Это пугающая концепция, которая может вызвать у вас серьезное беспокойство или панику. Электронное мошенничество, также известное как фишинговое мошенничество, включает использование электронной почты и мошеннических веб-сайтов для кражи конфиденциальной информации, такой как пароли, номера кредитных карт, данные учетной записи, адреса и т. Д.

Фишинговые атаки также могут выполняться с помощью текстовых сообщений. Эти электронные письма и тексты созданы так, чтобы они выглядели законными, например сообщения из вашего банка или другого надежного источника.Они часто запрашивают вашу личную информацию, которую преступники могут затем использовать для кражи личных данных.

Вы можете подумать, что с вами этого не случится, но Федеральная торговая комиссия (FTC) сообщает, что мошенники ежедневно совершают тысячи фишинговых атак. И они часто бывают успешными. Центр жалоб на Интернет-преступления ФБР сообщил, что жертвы потеряли 30 миллионов долларов из-за фишинговых схем за один год. Что делать, если вы стали жертвой мошенничества по электронной почте или SMS? Во-первых, давайте обсудим риски.

Электронное мошенничество: риски и последствия

Электронное мошенничество стремится получить прибыль от вашей личной информации. Как только воры получат ваши конфиденциальные данные, они могут использовать их для совершения различных преступлений — или они могут продать их в темной сети.

Рассмотрим подробнее, как работают фишинговые рассылки по электронной почте.

Фишинг — это схема онлайн-мошенничества, предназначенная для обмана жертв, заставляя их щелкнуть взломанное электронное письмо или текстовую ссылку или открыть мошенническое вложение. После того, как вы нажмете на ссылку, вы часто будете перенаправлены на поддельный веб-сайт, который выглядит так, как будто он принадлежит законному бизнесу. Оттуда вам предлагается ввести свои учетные данные.

Однако, как только вы это сделаете, мошенники захватят вашу регистрационную информацию и затем смогут получить доступ к подлинному сайту, чтобы украсть больше вашей личной информации или совершить покупки.

Другой пример: вы можете открыть вложение электронной почты, в которое встроено вредоносное ПО, которое затем заражает ваше устройство. Эти вирусы могут захватывать ваши учетные данные, когда вы входите в свои учетные записи или получаете контроль над своими устройствами.

Типы украденной конфиденциальной информации могут включать номера ваших банковских счетов и счетов кредитных карт, пароли, даже ваш номер социального страхования (SSN) — любые личные данные, которые могут храниться и отображаться в этих учетных записях.

Последствия могут быть разрушительными. Мошенники, получившие доступ к вашей личной информации, такой как ваш SSN, дата рождения или пароли, могут получить вашу личность и совершить различные типы кражи личных данных, мошенничества или других преступлений.

Вот некоторые риски и последствия.

Кража личных данных

Вор, который получил доступ или собрал несколько частей вашей личной информации, такой как ваш SSN, дата рождения, полное имя и адрес, может использовать эту информацию для совершения мошенничества с кредитными картами, банковского мошенничества, компьютерного мошенничества, мошенничества с использованием электронных средств, мошенничество с использованием почты и мошенничество при найме на работу.

Как это происходит? Используя эту конфиденциальную информацию, мошенник может затем делать такие вещи, как заполнять ложные заявки на получение ссуд, кредитных карт или банковских счетов на ваше имя или снимать деньги с ваших счетов.

Кража государственных личных данных

Мошенники могут использовать вашу личную информацию в мошеннических взаимодействиях с правительством. Например, они могут использовать ваш SSN и другую личную информацию для подачи налоговой декларации и требования возврата налога. Это известно как кража личных данных, связанная с налогами, мошенничество с возвратом налогов и мошенничество с возвратом украденных личных данных.

Преступная кража личных данных

Мошенники могут использовать ваш SSN и другую личную информацию для установления вашей личности в правоохранительных органах. Это может варьироваться от предоставления вашей информации для штрафа за превышение скорости до более серьезных проблем, например, если кто-то сообщит вашу личность при аресте.

Последствия могут включать выдачу ордера на ваш арест или стоимость работы, если во время проверки данных потенциального работодателя выскакивает неточная информация.

Кража медицинских данных

Попав на фишинговую аферу, вы можете предоставить киберпреступникам доступ к своей медицинской страховке. Мошенник может использовать эту информацию в экстренных случаях, чтобы обратиться к врачам, получить рецептурные лекарства и подать заявление о страховании здоровья.

Это не только может повредить вашему медицинскому страхованию, но также может поставить под угрозу вашу безопасность, если в ваших файлах будет чья-то медицинская история, когда вам понадобится неотложная медицинская помощь.

Вы можете получать счета за медицинские услуги, которые вы не получали, или получать отказ в покрытии в определенных случаях из-за дезинформации.

Утилита мошенничества

Точно так же воры могут использовать вашу личную информацию, чтобы открывать соглашения о коммунальных услугах для таких услуг, как телефон, вода, газ и кабель, или обновлять существующие соглашения об обслуживании. На отслеживание и устранение такого вида мошенничества может потребоваться много времени. Это также может повлиять на ваш кредитный отчет, если их счета останутся неоплаченными, пока вы не обнаружите мошенничество.

Утечка из даркнета

Ваша личная информация может быть продана в даркнете. Если это так, ваши данные могут быть в списках, к которым имеют доступ другие киберпреступники. Если ваша личная информация будет раскрыта, ее можно будет использовать сегодня или через годы.

Что делать, если вы попались на электронную рассылку

Электронное мошенничество представляет собой серьезную угрозу, и если вы стали жертвой электронного мошенничества, вы должны действовать быстро, чтобы защитить себя от кражи личных данных. Вот некоторые из важных шагов, которые необходимо предпринять.

Изменить пароли

Если вы нажали не ту ссылку или предоставили личную информацию в ответ на фишинг, немедленно измените свои пароли.Это касается всей электронной почты и других онлайн-аккаунтов, включая банковские счета, коммунальные услуги, интернет-магазины и т. Д. Вам также может потребоваться обновить любые связанные ПИН-коды. Создавайте уникальные, сложные, новые пароли для каждой учетной записи, используя последовательность букв, цифр и символов. Такие пароли сложнее взломать киберпреступникам.

Уведомить кредитные агентства

Как можно скорее свяжитесь с одним из трех основных кредитных бюро и сообщите им, что ваша учетная запись потенциально была взломана. Поместите в свой аккаунт предупреждение о мошенничестве или заблокируйте кредит до тех пор, пока проблема не будет решена.

Связаться с компаниями, выпускающими кредитные карты

Оповестите компании, выпускающие кредитные карты, и объясните ситуацию. Возможно, ваши кредитные карты еще не использовались, но если вы раскрыли данные кредитной карты, несанкционированные платежи могут быть в вашем будущем. Ваш банк может предложить заморозить или заменить ваши карты. Сообщите своему банку, что произошло, чтобы они могли помочь вам защитить вашу кредитную линию.

Обновите программное обеспечение и внесите другие технические исправления

Обновите программное обеспечение до последней версии и запустите комплексное сканирование на вирусы, если вы считаете, что ваша система может быть заражена вирусом или другим вредоносным ПО.

Кроме того, вам следует зашифровать конфиденциальные файлы, убедиться, что у вас включен брандмауэр, и регулярно выполнять резервное копирование вашей личной информации на внешний жесткий диск или в облако.

И имейте в виду, когда вы используете общедоступную сеть Wi-Fi, включение и использование виртуальной частной сети (VPN) является более безопасным вариантом.

Кроме того, обязательно выключайте компьютер, когда он не используется, чтобы он был недоступен для хакеров в выключенном состоянии.

Регулярно проверяйте свои счета

Регулярно проверяйте свои банковские счета и счета кредитных карт на предмет подозрительной активности.Если вы ранее обнаруживали подозрительную или незнакомую активность и установили предупреждение о мошенничестве или блокировку кредита в своем кредитном отчете, вы можете оставить его на месте, пока не решите, что его можно удалить. И следите за любыми счетами от коммунальных компаний или других поставщиков услуг, которые вам не принадлежат.

Ресурсы для отчетности

Если вы стали жертвой фишингового мошенничества, важно сообщить об этом. Вот несколько доступных ресурсов для отчетов.

  • Национальный центр информации о мошенничестве. Fraud.org — проект Национальной лиги потребителей. Эта организация сообщает о мошенничестве федеральному правительству и ведет подробный учет случаев мошенничества. Он также предоставляет ссылки, по которым вы можете связаться в вашем штате за помощью.
  • Центр жалоб на Интернет-преступления. У ФБР и Национального центра по борьбе с преступлениями против белых воротничков есть сайт под названием Центр жалоб на преступления в Интернете. В нем есть много советов и другой полезной информации о том, как избежать мошенничества по электронной почте и что делать, если вы стали его жертвой.Он также предлагает ссылку для подачи иска против третьей стороны, которая украла вашу личность или предприняла попытку.
  • Министерство юстиции США. У Министерства юстиции США есть веб-сайты, позволяющие подавать жалобы на мошенничество по электронной почте. На сайте также есть множество полезных ссылок, советов и советов.
  • Better Business Bureau. BBB позволяет предупредить других о том, что с вами случилось, чтобы они не попались на такую ​​же аферу.

Информация о фишинге и других видах интернет-мошенничества может помочь вам не стать жертвой.

Что такое «соль» и как она повышает безопасность хеширования паролей?

Как работает хеширование паролей?

Когда пользователь впервые создает учетную запись на веб-сайте, пароль пользователя хешируется и сохраняется во внутренней файловой системе в зашифрованном виде. Когда пользователь впоследствии входит на веб-сайт, введенный пользователем хэш пароля сопоставляется с хешем пароля, хранящимся во внутренней системе. Если хэш совпадает, пользователю предоставляется доступ.Если проверка хэша не удалась, пользователь не сможет войти на сайт.

Поскольку эти хеш-таблицы разработаны, чтобы быть быстрыми, но не обязательно безопасными, любой хакер может использовать различные инструменты, доступные в Интернете, для быстрого восстановления паролей из этих простых хэшей. В настоящее время существует множество различных способов взлома хэшей паролей, а именно атаки по словарю, атаки методом перебора, таблицы поиска, таблицы обратного просмотра и радужные таблицы. В бэкэнд-системе простые хешированные пароли будут выглядеть следующим образом —

хэш ( «letmein») = 0xf73bo1230k35n72nj523dtg9l4n2k6n24nv7i73gf36hf4ow9d4k4c2nm6m
хэш ( «12345678») = 4h5g2c9d0a34lk1k3n0sd8sdl4h54nm9g76dsj3n5ksb38j5ls93md0l3hz9d2
хэш ( «бейсбол») = 3n52k5kcn5kv9cma83ja83d430dm9c83m6n20cj67gb7ksnf8dgsmg056vm
хэш ( «letmein») = 0xf73bo1230k35n72nj523dtg9l4n2k6n24nv7i73gf36hf4ow9d4k4c2nm6m

Обратите внимание, что в приведенном выше примере хэш-значения для двух пользователей с паролем letmein идентичны.

Что такое соль?

Все вышеупомянутые механизмы для взлома хэша возможны, потому что каждый раз, когда хешируется строка открытого текста, она генерирует точно такое же хешированное значение. Например, если злоумышленник хеширует значение «letmein», он сгенерирует то же значение, что и значение, сохраненное в серверной системе для другого пользователя с паролем «letmein». Злоумышленники используют заранее вычисленные таблицы, созданные мощными компьютерами, которые вводят все возможные значения в алгоритм хеширования. Эти столы также можно приобрести.Используя эти таблицы, злоумышленник может перекрестно ссылаться на украденное хешированное значение (например, пароль) и выполнить обратный поиск, чтобы определить исходное значение.

Чтобы добавить дополнительный уровень безопасности, необходимо добавить случайность к исходному значению открытого текста перед хешированием, чтобы оно не генерировало каждый раз одно и то же значение хеширования. Рандомизация этих хэшей путем добавления или добавления случайной строки, известной как соль, может значительно усложнить злоумышленнику использование таблиц поиска или радужных таблиц для взлома этих паролей за счет увеличения возможных хешированных значений, которые может иметь каждый пароль.Если у каждого пользователя есть уникальная соль, это также делает пароль невосприимчивым к обратному поиску. Внутренняя файловая система, которая имеет хешированные пароли с солью, будет выглядеть следующим образом —

хэш ( «letmein» + «F34564R8») = 8f3k9j3hdk98jk30lsvn9al30lfb48slhbtwe9uka903bwj380dsfj3v2nf930nk3
хэш ( «letmein» + «Y456f3q9») = ber5jg0qhekgl8dkjhl52309uwlkmcbkuw385b9smqnv9c234calq95nf34flql
хэш ( «letmein» + «56hwF3h8») = w2lkg034fmwprm80n59fdmal40djwbel46n32ldn2la9702nd772ha95lg06j

Теперь для каждого пользователя с паролем letmein существует свое хеш-значение.

Как максимально использовать хеширование с использованием соли

  • Убедитесь, что соль уникальна для каждого пользователя и для каждого пароля. Использование десяти различных солей повышает безопасность хешированных паролей за счет увеличения вычислительной мощности, необходимой для создания таблиц поиска, в десять раз. Если соль хранится отдельно от пароля, злоумышленнику также сложно реконструировать пароль. Однако для наивысшего уровня защиты используйте уникальную соль, генерируемую для одного и того же пользователя каждый раз, когда она меняет свой пароль.
  • В идеале каждая соль должна иметь длинное значение соли, по крайней мере, той же длины, что и результат хэша. Если выходной сигнал используемой хеш-функции составляет 256 бит или 32 байта, длина солт-значения должна быть не менее 32 байтов. Наряду с длинными паролями со специальными символами этот подход должен обеспечивать необходимую безопасность паролей пользователей.
  • Не используйте имена пользователей в качестве значений соли. Поскольку имена пользователей часто предсказуемы и повторно используются пользователем для различных служб, использование имен пользователей в качестве значений соли не так безопасно, как использование несвязанного значения для соли.Кроме того, часто используемые имена пользователей, такие как «admin» и «root», можно легко найти и использовать для взлома этих хэшей.
  • Используйте криптографически безопасный генератор псевдослучайных чисел для объединения значений, используемых для хеширования паролей. Эти алгоритмы, как следует из названия, криптографически безопасны и генерируют случайные, непредсказуемые значения соли.
  • Наконец, убедитесь, что в хэш добавлен секретный ключ, чтобы пароль можно было проверить только в том случае, если он известен.Также убедитесь, что ключ хранится во внешней системе, на физически отдельном сервере, так что для успешного взлома пароля хакеру необходим доступ не только к внутренним файловым системам, но и к внешнему серверу ключей.

Как избежать наиболее распространенных ошибок паролей

Пароли. У всех нас сейчас их много. И все же нам неоднократно говорят не использовать пароли повторно и сделать их надежными. Для большинства из нас это противоположный набор директив. Если у вас нет потрясающей памяти, мы, простые смертные, никогда не сможем запомнить разные и сложные пароли для каждой учетной записи.Эта сложная ситуация заставляет нас совершать серьезные ошибки в защите паролей, но мы поделимся лучшими практиками, которые помогут упростить использование паролей и более безопасным.

Проблема повторного использования паролей

Мы часто попадаем в ловушку повторного использования паролей, потому что практически невозможно запомнить разные пароли для каждого посещаемого сайта, особенно когда нет единого стандарта сложности пароля. На одном сайте может потребоваться использовать не менее 14 символов, включая заглавную букву, символ и число.Другой может не позволить вам использовать более восьми символов и никаких символов для загрузки. Доказательства, что это расстраивает? Опрос OpenVPN показал, что каждый четвертый человек использует один и тот же пароль для каждой корпоративной системы, которую они регулярно используют, несмотря на то, что большинство сотрудников говорят, что компрометация личных данных является их главной проблемой безопасности.

Итак, давайте поговорим об утечках данных. Иногда они попадают в новости — вы, возможно, помните, что в 2016 году LinkedIn был скомпрометирован на сумму 164 миллионов учетных записей пользователей.В данном случае LinkedIn небезопасно хранил пароли — хакеры не только извлекали много информации о пользователях, но и могли извлекать настоящие пароли. Утечки данных происходят где-то , каждый день , в больших и малых организациях. Во многих случаях утечка данных означает раскрытие паролей.

Это означает, что помимо немедленного эффекта от того, что кто-то имеет доступ к вашей учетной записи на сайте X, все эти пароли попадают в списки, которые люди могут загрузить или купить.Затем хакеры будут искать, на каких еще сайтах будут работать эти пароли. Таким образом, даже если сайт Y правильно защищает ваш пароль, если он может быть взломан через сайт X, вы в любом случае рискуете взломать сайт Y. Это одна очень веская причина не использовать пароли повторно.

Попытка изобрести умный алгоритм для всех ваших паролей не работает

Вместо повторного использования паролей мы могли бы попытаться придумать какой-нибудь метод или «алгоритм» для генерации пароля для сайта.Но использование метода генерации пароля просто означает, что, когда один из ваших паролей скомпрометирован, обычно не требуется много усилий, чтобы выяснить, что это за метод.

Например, пароль всегда входит в топ-25 популярных паролей (и тем не менее, люди все еще его используют!) И конечно, мы можем придумать и заменить «o» на «0» или «a» на «@». . Но посмотрим. Запуск пароля и некоторых его вариантов через эту программу проверки паролей скажет нам, сколько раз этот конкретный пароль был замечен в утечках данных.N @ tTa8gm969 = Zr , который не видел ноль раз, ну, это неплохой случай для использования надежных уникальных паролей.

Большинство умных алгоритмов, которые мы используем для создания паролей на самом деле очень распространены и предсказуемы : Мы склонны использовать место, имя или обычное слово в качестве основы; сделать первую букву заглавной; добавьте число (обычно 1 или 2) в конце; и добавьте один из наиболее распространенных символов (~,!, @, #, $,%, &,? .

Fido1! any?

Решение: используйте диспетчер паролей

Что делать, Тогда, если вы заботитесь о безопасности своих паролей, вам следует использовать менеджер паролей.Это похоже на маленькую черную книгу паролей — но зашифрованную, а это значит, что даже если кто-то получит доступ к вашей черной книге (или файлу) паролей, он не сможет прочитать ее без главного пароля.

По сути, все менеджеры паролей работают более или менее одинаково:

  • Создайте зашифрованный файл (или хранилище), в котором будут храниться все ваши пароли.

  • Имейте средства, позволяющие вам убедитесь, что вам разрешен доступ к хранилищу (например,грамм. пароль, криптографический ключ, отпечаток пальца и т. д.)

  • Позволяет скопировать пароль для данной учетной записи, чтобы вы могли вставить его в поле пароля при входе в систему. Вам никогда не нужно знать или вводить пароль.

Здесь есть два основных варианта: менеджеры паролей с облачным хранилищем и менеджеры паролей с локальным файлом.

Менеджер паролей с облачным хранилищем означает, что ваше хранилище хранится «в облаке», что является модным словечком, которое на самом деле означает просто «на чужом компьютере».Звучит пугающе, но пока ваше хранилище правильно зашифровано, это не проблема. Это также дает большое преимущество, позволяя вам иметь приложение менеджера паролей на всех ваших устройствах, использующих одно и то же хранилище. Когда вы добавляете или меняете пароль на одном устройстве, он автоматически отражается на всех остальных.

Диспетчер паролей с локальным файлом означает, что хранилище полностью находится под вашим контролем, и вы должны где-то его хранить. Это означает, что если вы хотите поделиться хранилищем между всеми своими устройствами, вам все равно нужно поместить его в какое-либо доступное место, например Dropbox, OneDrive или что-то еще по вашему выбору.Это, конечно, «в облаке», но это ваш выбор, где это находится, и это означает, что хакеру потребуется дополнительный шаг, чтобы добраться до ваших паролей; им нужно будет войти в вашу учетную запись облачного хранилища (информация для входа и, возможно, двухфакторная аутентификация). и также знают логин для вашего менеджера паролей.

Примером менеджера паролей с локальным хранилищем является KeePass. Двумя наиболее популярными облачными менеджерами паролей являются 1Password и LastPass. Ознакомьтесь с нашими 1Password vs.LastPass вскрытие, чтобы сравнить два.

Самым большим преимуществом использования менеджера паролей является то, что теперь вы можете создавать пароли любой сложности, не запоминая их. А ты должен. Делайте их настолько долго, насколько вам позволяет данный сайт. В идеале это не менее 16 символов, но в некоторых местах есть забавные правила паролей, которые вам придется соблюдать. Если у вас есть 64 символа, сделайте это!

Как должен выглядеть пароль? Некоторые сайты предъявляют странные требования к паролю.К счастью, каждый менеджер паролей позволяет вам изменить способ генерации паролей, поэтому для любого сайта потребуется немного поработать, чтобы найти хороший случайный пароль, который сайт примет. В общем, вы должны начинать с букв, цифр и символов и удалять некоторые только в том случае, если сайт не может их обработать

Единственные два пароля, которые вам нужны и как их создать

Когда дело доходит до этого, вы должны у вас есть только два пароля, которые вам нужно запомнить:

Чтобы создать этот запоминающийся пароль, который по-прежнему остается безопасным, создайте парольную фразу.

Надежность пароля, как показано в комиксе xkcd

Хотя доказано, что парольные фразы не так эффективны, как хороший случайный пароль, они лучше, чем трудно запоминающийся пароль, для входа на ваши устройства или вашего пароля управляющий делами. Парольные фразы также хороши для тех сайтов, которые по какой-либо причине не позволяют вам вставить пароль в поле пароля или устройства, на котором вы не можете или не должны устанавливать свой менеджер паролей (например, сервер, который вы часто используете для Работа).! $; символа.

По-прежнему рекомендуется не использовать общие «простые» слова, поэтому создание их с помощью чего-то вроде «Использовать парольную фразу» — хорошая идея. Если тебе это сойдет с рук. используйте более четырех слов, что затрудняет угадывание и, следовательно, безопаснее. И, конечно же, не используйте парольные фразы повторно!

Что делать с вопросами безопасности учетной записи

И последнее, о чем стоит поговорить, — это вопросы безопасности. Вы знаете, когда сервис просит вас ответить на несколько вопросов на случай, если вы потеряете свой пароль, или даже просто для входа каждый раз.Это проклятие входа в ваш банковский счет и входа в большинство других «официальных» учреждений. И они смешные.

Они либо настолько просты, что любой, кто набирает google.com , может их понять, либо вы вводите ответ, который нелегко угадать … и сидите там, задаваясь вопросом, поставить ли вы «Государственная школа» # 6 «,» PS # 6 «или» PS # 6 «, и теперь вы все равно заблокированы.

Решение? Вы должны полностью придумывать вымышленные или бессмысленные ответы на них. Верно. Не давайте никому возможности исследовать или догадываться. Для этого хорошо подходят парольные фразы. Вам обязательно нужно будет где-нибудь записать эти ответы. Лучше всего хранить их в текстовом документе или электронной таблице, которые нигде не подключены к Интернету. Вы также можете сохранить их в своем диспетчере паролей, но если по какой-то причине кто-то извлекает данные из зашифрованного хранилища, хотя они могут не получить фактический пароль, ответ на секретный вопрос может быть столь же хорош для входа в вашу учетную запись.По возможности лучше хранить их отдельно.


Но подождите, а как насчет двухфакторной аутентификации? Отличный вопрос. Вы также должны обязательно включить это, потому что это дополнительный уровень безопасности, помимо простого управления паролями, который может защитить вашу цифровую жизнь.

Тебя одолели? Вот как поменять сразу все пароли. & * () -_ + = {} [] | \ ;:» <> ,./?

  • , по крайней мере, 1 верхний регистр, числовой и специальный символ должен быть ВСТРОЕН где-то в середине пароля, а не только первым или последним символом строки пароля.
  • Пароли должны быть длиной не менее 10 символов , но могут быть намного длиннее.
  • Парольные фразы — это более длинные версии паролей, которые легче запомнить и труднее угадать. Если вы решите использовать кодовую фразу, некоторые требования к сложности снижаются:

    • минимум 20 символов длиной
    • минимум 2 набора символов из этих классов: [буквы], [числа], [специальные символы (как указано выше)]

    Некоторые другие соображения:

    • Пожалуйста, не используйте тот же пароль в отделе компьютерных наук, который вы используете где-либо еще — ни в остальной части университета, на других должностях, в других исследовательских учреждениях и т. Д.
    • Никогда не сообщайте * никому * свой пароль.
    • Не записывайте свой пароль и особенно не размещайте его на рабочем месте или в Интернете в виде файла.
    • Пароли не должны основываться на словарном слове или ранее были взломаны.
    • Пароли не должны содержать никакой личной информации.

    Мы рекомендуем использовать диспетчер паролей, который позволяет использовать очень сложные пароли, которые различны для каждого сайта и не используются повторно.Университет в партнерстве с LastPass предоставляет бесплатные учетные записи для управления паролями LastPass студентам, преподавателям и сотрудникам.

    Другие методы выбора надежных и запоминающихся паролей можно найти в Базе знаний OIT. (Обратите внимание, однако, что наши правила паролей отличаются от правил паролей OIT.)

    .