Как проверить надёжность пароля при помощи бесплатных сервисов

Какими пароли не должны быть

Во время регистрации пользователь придумывает пароль. Некоторые коды для входа система Стима отвергает, считая, что пароли содержат недопустимые символы. Чтобы не допустить этой ошибки, необходимо запомнить следующее:

  • код для входа не должен быть идентичен логину;
  • не получится создать код, в котором содержится менее 8 символов;
  • код с хорошей степенью надежности не будет содержать повторение одинаковых цифр, например, «88888888888www», «3333332222211111»;
  • не рекомендуется использовать коды для входа на другие сайты, так как, если злоумышленники взломают защиту одного, то обязательно пройдутся и по другим сайтам.

Необходимо хорошо подбирать пароли для Стима. Можно придумать самому, но рекомендуется использовать генератор паролей. Эта утилита выдаст случайную комбинацию из чисел и латинских букв.

Внимание! Любой код для входа, каким бы он ни был простым или сложным, записать на бумагу и скрыть от посторонних глаз. Таким образом, если пользователь забудет код, то он всегда может подсмотреть

Как посмотреть чужую переписку с помощью PuntoSwitcher?

Утилита PuntoSwitcher, с помощью которой можно прочитать чужую переписку

PuntoSwitcher – крайне удобная программа для тех, кто имеет дело с текстом. Она анализирует вводимые с клавиатуры символы и переводит раскладку на нужную. Когда печатаешь текст, глядя на клавиатуру, можно не заметить, что раскладка не переключена. Приходится либо вбивать текст заново, либо искать сайты, меняющие испорченный текст на правильный. Но проще поставить PuntoSwitcher.

Однако, программа имеет и более интересные опции. Например, вы можете прочитать чужую переписку.

Единственный момент – у вас должен быть доступ к ПК того пользователя, чьи сообщения вы хотите узнать. Рассмотрим установку и настройку PuntoSwitcher пошагово:

Шаг 2. По умолчанию утилита сворачивается в трей. Чтобы настроить PuntoSwitcher, кликаем правой кнопкой мыши по ее значку.

Правой кнопкой мышки кликаем по значку PuntoSwitcher

Шаг 3. В меню переходим на строку «Дополнительно» и отмечаем параметр «Вести дневник».

Наводим курсор на строку «Дополнительно» и отмечаем параметр «Вести дневник»

Шаг 4. Теперь останется «подчистить следы» — чтобы пользователь ничего не заподозрил. Дело в том, что программа при переключении раскладки издает характерный звук. Его быть не должно. В настройках заходим в «Звуковые эффекты» и отключаем их все, если стоит галочка — щелкаем. Отсутствие галочки — отсутствие звука.

Снимаем галочку с пункта «Звуковые эффекты»

Шаг 5. Открываем масштабные настройки программы.

Правой кнопкой мышки кликаем по значку PuntoSwitcher, переходим в пункт «Настройки»

Шаг 6. Во вкладке «Общие» убираем все пункты, кроме автозапуска. Сохраняем результат.

В разделе «Общие» убираем галочки со всех пунктов, кроме автозапуска, нажимаем «ОК»

Теперь для просмотра введенного при работе Виндовс текста, останется заглянуть в дневник PuntoSwitcher.

Правильно генерируем пароль

С теоретической частью мы разобрались, теперь перейдём непосредственно к генерации стойкого и надёжного пароля.
При создании сложного и стойкого пароля существенную роль играет человеческий фактор. Трудности возникают на самом начальном этапе – придумывании сложного пароля, а после – его запоминания. Ведь комбинация разрозненных символов едва ли предрасполагает к скорому запоминанию.
С проблемой генерации стойкого пароля нам помогут он-лайн сервисы. Их довольно много, из популярных русскоязычных сервисов можно отметить:Passwordist.com Online-Generators.ru PassGen.ru
Работают представленные сервисы по одному принципу, от вас лишь требуется указать какие символы необходимо использовать и выбрать длину генерируемого пароля.
Отдельной особенностью сервиса Passwordist.com можно отметить возможность задать количество создаваемых паролей и генерировать варианты с лучшей читабельностью за счёт исключения похожих символов, к примеру, B и 8.

Как составлять устойчивые комбинации?

Нижеследующие способы помогут вам придумать очень сложный символьный ключ, который легко запомнить.

1. Создайте визуально контуры геометрической фигуры или какого-либо предмета на клавиатуре вашего компьютера. А затем наберите символы, по которым проходят линии.

Внимание!
Избегайте простых «конструкций» — линии, квадраты или диагонали. Их легко предугадать

2. Составьте сложное предложение, не поддающееся логике. Другими словами, какой-нибудь каламбур:

Например:
Кот Васька на Юпитере уловил щуку.

Затем возьмите первые 2-3 буквы каждого слова из придуманного предложения:Кот + Ва + На + Юп + ул + щук

Наберите слоги латинскими буквами:Rjn + Df + Yf + >g + ek + oer

После транслитерации вставьте между слогами какие-нибудь хорошо знакомые вам числа: дату рождения, рост, вес, возраст, последние или первые цифры телефонного номера.Rjn066Df 45Yf 178>g 115ek1202oer

Вот и всё! Как видите, получилась довольно «крепкая» комбинация. Чтобы вспомнить её быстро, вам нужен только ключ (предложение-каламбур) и используемые цифры.

3. Возьмите за основу 2 памятные даты. К примеру, два дня рождения (ваше и вашего любимого человека).12.08.1983 05.01.1977

Разделите число, месяц и год какими-нибудь спецсимволами:12|08/1983|05\01|1977

Теперь нули в датах замените маленькой буквой «o». 12|o8/1983|o5\o1|1977

Получается довольно замысловатый ключ.

4. Сделайте специальную таблицу: по вертикали и горизонтали матрицы расположите латинские буквы и цифры, а в строчках и столбцах — символы в хаотичном порядке.

Для генерации ключа возьмите несколько простых слов, записанных английскими буквами, например, my password very strong

Возьмите первую пару букв. В нашем случае это «my». В вертикальном списке найдите «m», в горизонтальном «y». На пересечении линий вы получите первый символ пароля.

Таким же образом, посредством следующих пар, найдите остальные символы ключа.

Если забудете пароль, для его восстановления воспользуйтесь простым ключевым словом и таблицей.

Использование

Использование сложных паролей увеличивает время, необходимое взломщику для подбора пароля, не отменяет необходимости использования других мер безопасности. Эффективность пароля заданной силы зависит от проектирования и реализации программного обеспечения систем аутентификации, в частности, от того, насколько быстро система аутентификации будет отвечать атакующему при его попытках подобрать пароль, и как надёжно хранится и передаётся информация о пароле. Риски также представлены некоторыми способами взлома безопасности компьютера, не относящимися к сложности пароля. Это такие методы как фишинг, кейлоггинг, телефонная прослушка, социальная инженерия, поиск полезной информации в мусоре, атака по сторонним каналам, уязвимости в программном обеспечении, бэкдоры, эксплойты.

Битовый порог сложности

Для практических целей пароли должны быть одновременно обоснованной сложности и функциональными для конечного пользователя, но и достаточно сложными, чтобы защитить от умышленной атаки. Сложные пароли можно легко забыть, и их с большей вероятностью будут записывать на бумаге, что подразумевает собой некоторый риск. С другой стороны, если требовать от пользователей запоминать пароли наизусть, то они будут придумывать более лёгкие пароли, что серьёзно увеличит риск взлома.

Некоторые критерии надёжности были найдены при поиске ключа, используемого для шифрования данных, методом полного перебора. Эта проблема не та же самая, так как эти методы включают в себя астрономическое количество попыток, но результаты могут помочь определиться с выбором пароля. В 1999 году участники проекта Electronic Freedom Foundation взломали 56-битный шифр DES меньше чем за сутки, используя специально спроектированное аппаратное оборудование. В 2002 году участники сообщества distributed.net окончили взлом 64-битного ключа, затратив 4 года, 9 месяцев и 23 дня. А 12 октября 2011 года сообщество distributed.net оценило, что для взлома 72-битного ключа с использованием тогдашних возможностей потребуется 124,8 года. Ввиду огромной сложности и из-за ограничений, связанных с нашим пониманием законов физики, нельзя ожидать, что какой-либо цифровой компьютер (или их комбинация) был способен взломать 256-битный шифр с помощью метода полного перебора. Так или иначе, в теории существует возможность (алгоритм Шора), что квантовые компьютеры смогут решать такие задачи, однако возможно ли это будет на практике — неизвестно.

Как результат — нельзя дать точный ответ на в некоторой степени другую проблему, проблему оптимальной сложности пароля. Национальный институт стандартов и технологий (США) (NIST) рекомендует использовать пароль с 80-битной энтропией для наилучшей защиты, который может быть достигнут с помощью 95-символьного алфавита (то есть, набор символов из ASCII) 12-символьным паролем (12 * 6,5 бита = 78).

Вариант 3.

def password(data):
foo = (bool(len(data)>9),
       any(map(lambda x: x.isdigit(), data)),
       any(map(lambda x: x.islower(), data)),
       any(map(lambda x: x.isupper(), data)))
return all(foo)

1
2
3
4
5
6

defpassword(data)

foo=(bool(len(data)>9),

      any(map(lambdaxx.isdigit(),data)),

      any(map(lambdaxx.islower(),data)),

      any(map(lambdaxx.isupper(),data)))

returnall(foo)

В этом варианте логические значения условий пароля хранятся в кортеже на который ссылается переменная foo. Первый элемент foo содержит логическое значение условия длины пароля, все остальные — логические значения (функция any) объекта map, который в свою очередь содержит логические значения проверки каждого элемента data на принадлежность к цифрам, буквам нижнего или верхнего регистра. Все это делает функция map, через вызов функции lambda для каждого элемента data. Лямбда использует строчные методы проверки: isdigit() — есть ли это цифра, islower() — есть ли это буква в нижнем регистре, isupper()— или буква в верхнем регистре.  Если объект map содержит хотя бы одно True, то функция map вернет True, иначе — False. Ну и функция all вернет True, если все элементы foo будут True (будут удовлетворять условиям надежного пароля), иначе — False.

Конечно, вариантов еще можно найти и найти … Можно использовать другие модули и т.д. Но всегда нужно добиваться оптимального варианта.

jQuery

Поданный ниже jQuery код достаточно надежен. Мы подключили большое количество событий для элементов форм, также их валидацию. Если пользователь вводит данные с ошибкой, мы добавим класс error к .row div блоку, который содержит поле ввода. Этот класс отобразит красный крестик. В случае успешного результата, мы добавим класс success, который отобразит зеленую галочку. При нажатии кнопки регистрация, мы проверим, все ли поля ввода заполнены корректно. Вот так! Теперь рассмотрим сам код.

assets/js/script.js

$(function(){
	
	var pass1 = $('#password1'),
		pass2 = $('#password2'),
		email = $('#email'),
		form = $('#main form'),
		arrow = $('#main .arrow');

	// Очищаем поля при загрузке
	$('#main .row input').val('');

	// Обработчик коректности заполнения форм
	form.on('submit',function(e){
		
		// Все ли заполнено корректно?
		if($('#main .row.success').length == $('#main .row').length){
			
			// Да!
			alert("Спасибо за тестирование данного примера!");
			e.preventDefault(); // Удалите это, если хотите использовать форму для себя
			
		}
		else{
			
			// Нет. Предотвращаем отправку данных с формы
			e.preventDefault();
			
		}
	});
	
	// Валидация поля email
	email.on('blur',function(){

		if (!/^\S+@\S+\.\S+$/.test(email.val())){
			email.parent().addClass('error').removeClass('success');
		}
		else{
			email.parent().removeClass('error').addClass('success');
		}
		
	});

// Здесь будет код плагина Complexify, который мы рассмотрим далее в уроке
	
	// Валидируем второе поле ввода пароля
	pass2.on('keydown input',function(){
		
		// Убеждаемся, что пароли совпадают
		if(pass2.val() == pass1.val()){
			
			pass2.parent()
					.removeClass('error')
					.addClass('success');
		}
		else{
			pass2.parent()
					.removeClass('success')
					.addClass('error');
		} 
	});
	
});

В конце нашего пути, мы прикрутим плагин Complexify, который проверит надежность пароля. Плагин принимает callback функцию с двумя аргументами – процентное значение сложности пароля от 0 до 100, и параметр валидности valid, который содержит минимальную допустимую длину пароля в символах. Минимальная длина пароля устанавливается свойством minimumChars.

С помощью свойства strengthScaleFactor, мы можем установить минимальную сложность пароля, которая будет допустимой. Значение по умолчанию равно 1, согласно которому пароль должен содержать заглавные и прописные буквы, числа и специальные символы. Но для меня, это слишком сложные требования к паролю, поэтому устанавливаю на 0,7. Вы можете снизить этот показатель, если считаете что можно использовать пароли попроще.

	// Используем Complexify плагин для валидации первого поля ввода пароля
	pass1.complexify({minimumChars:6, strengthScaleFactor:0.7}, function(valid, complexity){
		
		if(valid){
			pass2.removeAttr('disabled');
			
			pass1.parent()
					.removeClass('error')
					.addClass('success');
		}
		else{
			pass2.attr('disabled','true');
			
			pass1.parent()
					.removeClass('success')
					.addClass('error');
		}
		
		var calculated = (complexity/100)*268 - 134;
		var prop = 'rotate('+(calculated)+'deg)';
		
		// Вращаем стрелку
		arrow.css({
			'-moz-transform':prop,
			'-webkit-transform':prop,
			'-o-transform':prop,
			'-ms-transform':prop,
			'transform':prop
		});
	});

Если передано валидное значение, мы задействуем поле подтверждение пароля (оно отображено как неактивное). Также мы будем использовать CSS3 трансформации для вращения стрелки индикатора. Трансформация будет анимироваться благодаря свойству transition, которое вы сможете увидеть в разделе CSS кода. Стрелка будет вращаться от -134 к 134 градусам (нулевое значение устанавливает стрелку вертикально вверх).

Политика паролей

Политика создания паролей — набор правил, призванных:

  • помочь пользователям сочинить пароль, который сложно подобрать;
  • гарантировать то, что пароли будут подходить целевой аудитории;
  • давать пользователям рекомендации в отношении обращения с их паролями.

Некоторые политики требуют, чтобы:

  • любой пароль, который был потерян или дискредитирован и, возможно, использовался дольше определённого времени, был изменён;
  • любой пароль содержал определённые в шаблоне символы.

Установка интервала времени, в течение которого пароль может использоваться, служит для предоставления гаратий того, что:

  • атакующему не хватит времени на взлом пароля; например, если время взлома пароля оценивается в 100 дней, то срок годности пароля устанавливается равным менее 100 дней;
  • время доступа атакующего к системе в случае, если пароль был дискредитирован, будет ограничено.

Создание и обращение с паролем

Труднее всего взломать пароль, состоящий из случайных символов, даже если известны длина пароля и набор допустимых символов. Случайный пароль благодаря высокой энтропии не только трудно запомнить, но и долго подбирать методом полного перебора. Требование сочинять сложные пароли может способствовать тому, что забывчивые пользователи станут записывать пароли на бумажках, в мобильных телефонах, на КПК, будут делиться ими с другими пользователями. Брюс Шнайер рекомендует записывать свои пароли.

Техники запоминания

Политики паролей иногда предлагают техники, помогающие людям запоминать пароли:

  • сочинение мнемонических паролей — придумывание мнемонических фраз и использование их при составлении пароля; например, составление пароля из первых букв слов запомнившейся фразы; вместо первых букв, можно использовать, например, слоги; пользователь может вспомнить пароль, вспомнив мнемоническую фразу;
  • мнемоника постфактум — придумывание случайного пароля и придумывание фразы, с помощью которой пароль можно вспомнить; фраза необязательно должна быть разумной, только запоминающейся;
  • составление пароля по шаблону; при этом следует помнить о том, что любые шаблоны облегчают угадывание пароля (автоматичное или нет) атакующим.

Защита паролей

Людям обычно советуют никогда и нигде не записывать свои пароли и никогда не использовать один пароль для разных аккаунтов. Неcмотря на это обычные пользователи могут иметь десятки аккаунтов и могут использовать один и тот же пароль для всех аккаунтов. Чтобы не запоминать множество паролей, можно использовать специальное программное обеспечение — менеджер паролей, которое позволяет хранить пароли в зашифрованной форме. Также можно зашифровать пароль вручную и записать шифрограмму на бумаге, при этом запомнив метод расшифровки и ключ. Ещё можно слегка менять пароли для обычных аккаунтов и выбирать сложные и отличающиеся друг от друга пароли для высокоценных аккаунтов, таких как, например, интернет-банкинг.

Как ограничения парольной защиты влияют на выбор паролей пользователями?

Чтобы обезопасить пользователей во многих системах разработчиками предусмотрен механизм парольной политики, который, к сожалению (для этичных хакеров – к счастью), не всегда используется. Рассмотрим ограничения и то, как они выполняются/обходятся креативными пользователями.
Типовые ограничения парольной политики:

  • длина пароля (обычно не менее 8);
  • использование символов в различных регистрах;
  • использование комбинаций букв и цифр;
  • использование спецсимволов;
  • запрет на использование предыдущего пароля.

Придумать пароль длиной более 8 символов не представляет сложности, а вот использовать символы в различных регистрах – уже сложно, так как нужно помнить, для какого символа в своем пароле был выбран верхний регистр. Самое очевидное и вероятное решение: выбрать первый или последний символ.

Если система заставляет добавить цифры, то здесь пользователи чуть более изобретательные:

  • Добавляют цифры в начало или конец. Как правило, от одной до 4-х. Соответственно, это может быть просто одна цифра, как в распространенном пароле «Password1», если две, то пользователь скорее всего выберет год или возраст, как в пароле «68cougar» из нашего эротического примера. Если три цифры, то они могут быть просто последовательностью «123». В случае, если пользователь захочет добавить 4 цифры, то это будет уже год в полном написании: «Alexander2018».
  • Заменяют буквы на похожие цифры: A = 4, E = 3, I = 1, O = 0. Особо креативные пользователи могут полноценно использовать l33t
    В случае необходимости применения спецсимволов, пользователи, как правило, используют один из наиболее известных спецсимволов, как это видно на следующей иллюстрации:

Понимая эти маленькие хитрости пользователей, этичному хакеру довольно просто сузить список слов-кандидатов на пароль.

Рекомендации по созданию сложного пароля

Общие рекомендации

Рекомендации по выбору хорошего пароля составлены для того, чтобы сделать пароль более стойким к разнообразным ухищрениям взломщиков.

  • Минимально рекомендуемая длина пароля — в пределах от 12 до 14 символов. Увеличение длины пароля всего на 2 символа даёт в 500 раз больше вариантов, чем увеличение алфавита на 18 символов.
  • Рекомендуется генерировать случайные пароли, если это возможно.
  • Рекомендуется избегать использования паролей, содержащих словарные слова («password»), повторяющиеся наборы букв («passpass»), буквенные или числовые последовательности («aaa», «123»), ники, имена (собственное имя, имена родственников), клички домашних животных, романтические отсылки (нынешние или прошлые), биографическую информацию.
  • Рекомендуется включать в пароль цифры и иные символы, если это разрешено системой.
  • Рекомендуется использовать как прописные, так и строчные буквы, когда это возможно. Однако, см. пункт 1, может быть лучше добавить к паролю слово, чем каждый раз нажимать и отпускать в нужных местах клавишу Shift.
  • Рекомендуется избегать использования одного пароля для различных сайтов или целей.

Некоторые рекомендации советуют никуда не записывать пароль, в то время как другие, отмечая существование большого количества защищённых паролем систем, к которым пользователь должен иметь доступ, одобряют идею записывания паролей, если, конечно, список паролей будет находиться в надёжном месте.

Примеры слабых паролей

Некоторые похожие пароли оказываются слабее, чем другие. Например, разница между паролем, состоящим из словарного слова, и паролем, состоящим из слова спутанного (то есть слова, буквы в котором заменены на, скажем, цифры сходного начертания, например: «о» на «0», «ч» на «4»), может стоить прибору для взлома паролей несколько лишних секунд — это добавляет к паролю немного сложности. В приведённых ниже примерах показаны разнообразные способы создания слабых паролей. В способах используются простые шаблоны, чем и объясняется низкая энтропия получаемых паролей — лёгкость их угадывания.

  • Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
  • Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из неанглийских словарей.
  • Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
  • Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
  • Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
  • Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
  • Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
  • Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.

У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак; главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которым может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.

Вариант 2.

Воспользуюсь простой логикой. В каких случаях функция должна вернуть False?

  1. Если входные данные содержат только цифры.
  2. Если входные данные содержат только буквы.
  3. Если входные данные в верхнем регистре.
  4. Если входные данные в нижнем регистре.
  5. Если длина входных данных меньше 10.

Это все можно проверить строчными методами и встроенными функциями Пайтона без импорта модулей стандартной библиотеки.

def password(data):
return not(len(data) < 10 or
           data.isdigit() or
           data.isalpha() or
           data.islower() or
           data.isupper()) \
        and data.isalnum()

1
2
3
4
5
6
7

defpassword(data)

returnnot(len(data)<10or

          data.isdigit()or

          data.isalpha()or

          data.islower()or

          data.isupper())\

       anddata.isalnum()

Думаю, излишне напоминать о том, что после каждых изменений в функции, необходимо ее снова проверять подготовленными тестами.

Аналогично еще один вариант:

def password(data):
if len(data) < 10:
       return False
if data.upper() == data:
       return False
if data.lower() == data:
       return False
return any(c.isdigit() for c in data)

1
2
3
4
5
6
7
8

defpassword(data)

iflen(data)<10

      returnFalse

ifdata.upper()==data

      returnFalse

ifdata.lower()==data

      returnFalse

returnany(c.isdigit()forcindata)

Comparitech

Как и в случае с Касперским, Comparitech занимается сервисами безопасности. У этой компании есть VPN, антивирус, облачное резервное копирование и т.д. Тест надёжности вместе онлайн генератором паролей доступен всем посетителям сайта Comparitech.

Все вводимые пароли обрабатываются локально и не отправляются в интернет.

Кроме предположительной оценки времени на взлом даётся базовая информация о пароле. Например, про тестовый пароль было сказано, что в нём содержится словарное слово и не содержится никаких других символов, кроме букв и цифр.

Comparitech проводит не самый глубокий анализ пароля, но всё же может определить его слабые места. Можно использовать генератор паролей или советы по созданию более сложных паролей.

Рекомендации по созданию сложного пароля

Общие рекомендации

Рекомендации по выбору хорошего пароля составлены для того, чтобы сделать пароль более стойким к разнообразным ухищрениям взломщиков.

  • Минимально рекомендуемая длина пароля — в пределах от 12 до 14 символов. Увеличение длины пароля всего на 2 символа даёт в 500 раз больше вариантов, чем увеличение алфавита на 18 символов.
  • Рекомендуется генерировать случайные пароли, если это возможно.
  • Рекомендуется избегать использования паролей, содержащих словарные слова («password»), повторяющиеся наборы букв («passpass»), буквенные или числовые последовательности («aaa», «123»), ники, имена (собственное имя, имена родственников), клички домашних животных, романтические отсылки (нынешние или прошлые), биографическую информацию.
  • Рекомендуется включать в пароль цифры и иные символы, если это разрешено системой.
  • Рекомендуется использовать как прописные, так и строчные буквы, когда это возможно. Однако, см. пункт 1, может быть лучше добавить к паролю слово, чем каждый раз нажимать и отпускать в нужных местах клавишу Shift.
  • Рекомендуется избегать использования одного пароля для различных сайтов или целей.

Некоторые рекомендации советуют никуда не записывать пароль, в то время как другие, отмечая существование большого количества защищённых паролем систем, к которым пользователь должен иметь доступ, одобряют идею записывания паролей, если, конечно, список паролей будет находиться в надёжном месте.

Примеры слабых паролей

Некоторые похожие пароли оказываются слабее, чем другие. Например, разница между паролем, состоящим из словарного слова, и паролем, состоящим из слова спутанного (то есть слова, буквы в котором заменены на, скажем, цифры сходного начертания, например: «о» на «0», «ч» на «4»), может стоить прибору для взлома паролей несколько лишних секунд — это добавляет к паролю немного сложности. В приведённых ниже примерах показаны разнообразные способы создания слабых паролей. В способах используются простые шаблоны, чем и объясняется низкая энтропия получаемых паролей — лёгкость их угадывания.

  • Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
  • Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из неанглийских словарей.
  • Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
  • Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
  • Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
  • Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
  • Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
  • Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.

У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак; главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.

Использование

Использование сложных паролей увеличивает время, необходимое взломщику для подбора пароля, не отменяет необходимости использования других мер безопасности. Эффективность пароля заданной силы зависит от проектирования и реализации программного обеспечения систем аутентификации, в частности, от того, насколько быстро система аутентификации будет отвечать атакующему при его попытках подобрать пароль, и как надёжно хранится и передаётся информация о пароле. Риски также представлены некоторыми способами взлома безопасности компьютера, не относящимися к сложности пароля. Это такие методы как фишинг, кейлоггинг, телефонная прослушка, социальная инженерия, поиск полезной информации в мусоре, атака по сторонним каналам, уязвимости в программном обеспечении, бэкдоры, эксплойты.

Политика паролей

Политика создания паролей — набор правил, призванных:

  • помочь пользователям сочинить пароль, который сложно подобрать;
  • гарантировать то, что пароли будут подходить целевой аудитории;
  • давать пользователям рекомендации в отношении обращения с их паролями.

Некоторые политики требуют, чтобы:

  • любой пароль, который был потерян или дискредитирован и, возможно, использовался дольше определённого времени, был изменён;
  • любой пароль содержал определённые в шаблоне символы.

Установка интервала времени, в течение которого пароль может использоваться, служит для предоставления гаратий того, что:

  • атакующему не хватит времени на взлом пароля; например, если время взлома пароля оценивается в 100 дней, то срок годности пароля устанавливается равным менее 100 дней;
  • время доступа атакующего к системе в случае, если пароль был дискредитирован, будет ограничено.

Создание и обращение с паролем

Труднее всего взломать пароль, состоящий из случайных символов, даже если известны длина пароля и набор допустимых символов. Случайный пароль благодаря высокой энтропии не только трудно запомнить, но и долго подбирать методом полного перебора. Требование сочинять сложные пароли может способствовать тому, что забывчивые пользователи станут записывать пароли на бумажках, в мобильных телефонах, на КПК, будут делиться ими с другими пользователями. Брюс Шнайер рекомендует записывать свои пароли.

Техники запоминания

Политики паролей иногда предлагают техники, помогающие людям запоминать пароли:

  • сочинение мнемонических паролей — придумывание мнемонических фраз и использование их при составлении пароля; например, составление пароля из первых букв слов запомнившейся фразы; вместо первых букв, можно использовать, например, слоги; пользователь может вспомнить пароль, вспомнив мнемоническую фразу;
  • мнемоника постфактум — придумывание случайного пароля и придумывание фразы, с помощью которой пароль можно вспомнить; фраза необязательно должна быть разумной, только запоминающейся;
  • составление пароля по шаблону; при этом следует помнить о том, что любые шаблоны облегчают угадывание пароля (автоматичное или нет) атакующим.

Защита паролей

Людям обычно советуют никогда и нигде не записывать свои пароли и никогда не использовать один пароль для разных аккаунтов. Неcмотря на это обычные пользователи могут иметь десятки аккаунтов и могут использовать один и тот же пароль для всех аккаунтов. Чтобы не запоминать множество паролей, можно использовать специальное программное обеспечение — менеджер паролей, которое позволяет хранить пароли в зашифрованной форме. Также можно зашифровать пароль вручную и записать шифрограмму на бумаге, при этом запомнив метод расшифровки и ключ. Ещё можно слегка менять пароли для обычных аккаунтов и выбирать сложные и отличающиеся друг от друга пароли для высокоценных аккаунтов, таких как, например, интернет-банкинг.

Краткий итог

В данной статье я попытался раскрыть все аспекты парольной защиты и объяснить, почему на первый взгляд надёжный пароль по сути таковым совершенно не является.
Надеюсь, что данная информация пригодится, и будут приняты меры, которые оградят от взлома и сопутствующих последствий.

Эксперты по компьютерной безопасности из Кембриджского университета проанализировали структуру более 70 млн. паролей. И выяснили то, что самые сложные пароли в мире составляют пользователи из Германии и Кореи. Причём делают они это непринуждённо и естественно, без специальной подготовки. А секрет устойчивости комбинаций кроется в специфике их языка. Они применяют те же латинские символы, те же цифры, но берут за основу свои родные «трудные» слова — имена, топонимы, термины и т.д. Например, Annaberg-Buchholz#122. Придумать, запомнить эти варианты легко, а вот подобрать на порядок сложней по сравнению со словарными словами других языков.

Если вы, уважаемый читатель, не знаете корейского или немецкого, это, конечно же, не значит то, что вы должны игнорировать сложные пароли. Они являют залогом безопасности ваших данных в интернете (в платёжных онлайн-системах, на сайтах, форумах). Эта статья расскажет вам, каким должен отвечать требованиям ключ для доступа в аккаунт (какой он должен быть) и как его создать.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий