Что такое символы в пароле при регистрации: Что такое символы в пароле при регистрации – 4apple.org

_`

Имя пользователя для входа в систему

Пробелы, двоеточия и кавычки не допускаются.

Оно не может состоять только из цифр, и поле нельзя оставлять незаполненным.

Длина ограничивается 32 символами.

Пароль для входа в систему

Максимально допустимая длина пароля для администраторов и супервайзера составляет 32 символа, тогда как для пользователей длина ограничивается 128 символами.

В отношении типов символов, которые могут использоваться для задания пароля, никаких ограничений не установлено. В целях безопасности рекомендуется создавать пароли, содержащие буквы верхнего и нижнего регистров, цифры и другие символы. Чем большее число символов используется в пароле, тем более трудной является задача его подбора для посторонних лиц.

В подразделе [Политика паролей] раздела [Расширенная безопасность] вы можете установить требование в отношении обязательного включения в пароль букв верхнего и нижнего регистров, цифр и других символов, а также минимально необходимое количество символов в пароле.

Для получения сведений об определении политики паролей см. Настройка функций расширенной безопасности.

Пароль – это строка символов, который используется для доступа к информации на компьютере. Парольные фразы – это длинные пароли, которые улучшают безопасность и содержат много слов, которые составляют фразу.

Пароли и парольные фразы позволяют исключить несанкционированный доступ к файлам, программам и другим ресурсам.

Создавая пароль или парольную фразу, делайте их надежными, чтобы их было трудно угадать или взломать.

Также не помешает использовать надежные пароли для всех учетных записей на компьютере. Если используется корпоративная сеть, возможно, администратор может потребовать использования надежного пароля.

Примечание: В беспроводной сети ключ безопасности защищенного доступа Wi-Fi Protected Access (WPA) поддерживает использование парольной фразы. Парольная фраза превращается в ключ, который используется для шифрования (этот процесс невидим для пользователя). Дополнительные сведения о ключах безопасности WPA см. Какие существуют способы защиты беспроводной сети?

Содержание

Что делает пароль надежными

Надежная парольная фраза:

  • содержит не менее восьми символов;
  • не содержит имени пользователя, настоящего имени или названия организации;
  • не состоит из целого слова;
  • значительно отличается от предыдущего пароля;
  • содержит от 20 до 30 символов;
  • состоит из слов, образующих фразу;
  • не содержит распространенные фразы, содержащиеся в литературе и музыке;
  • не содержит слов, которые можно найти в словаре;
  • не содержит имени пользователя, настоящего имени или названия организации;
  • значительно отличается от предыдущего пароля или парольной фразы.

Надежные пароли и парольные фразы содержат символы, относящиеся к четырем категориям:

0, 1, 2, 3, 4, 5, 6, 7, 8, 9

Символы на клавиатуре (все символы клавиатуры, которые не считаются буквами или цифрами) и пробелы

Пароль или парольная фраза могут соответствовать всем вышеуказанным требованиям и все равно быть ненадежными. Например, ПривитВ7! отвечает всем характеристикам надежного пароля, однако, он ненадежен, так как содержит целое слово. Пароль Прив1т В 7! является надежным вариантом – в слове некоторые буквы заменены на цифры, а сам пароль содержит пробелы.

Как запомнить надежный пароль или парольную фразу:

Создайте акроним из блока легкой для запоминания информации. Например, выберите фразу, которая будет иметь для вас смысл, вроде День рождения моего сына 12 декабря 2004 года. Руководствуясь этой фразой можно создать пароль вроде Днмс12/Гр, 4.

Замените буквы или слова на цифры, символы и орфографические ошибки в легкой для запоминания фразе. Например, День рождения моего сына 12 декабря 2004 может превратиться в ДнН @ р М0г0Сuн @ 12124 (использовать пробелы в паролях нельзя).

Свяжите пароль с хобби или любимым видом спорта. Например, Я люблю играть в бадминтон может превратиться в Люб # 8Б @ дм1нт () н.

Если вы хотите записать пароль, чтобы не забыть его, не отмечайте, что это пароль, и храните его в надежном месте.

Пароли с использованием символов ASCII

Также можно создавать пароли и парольные фразы, содержащие расширенные символы ASCII. Использование расширенных символов ASCII поможет обезопасить ваш пароль или парольную фразу, поскольку увеличивается количество символов, которые можно выбрать для создания пароля.

Перед использованием расширенных символов ASCII убедитесь, что такой пароль или парольная фраза будут совместимы с программами, которыми вы пользуетесь дома или на работе. Следует осторожно использовать расширенные символы ASCII в паролях и парольных фразах, если в вашей компании используется несколько операционных систем или другие версии Windows.

Дополнительные символы ASCII можно найти в таблице символов. Некоторые дополнительные символы ASCII не следует использовать в паролях и парольных фразах. Не используйте символ, если для него не указано сочетание клавиш.

Пароли Windows могут состоять из значительно большего количества символов, чем рекомендовано выше (восемь). На самом деле пароль может содержать до 127 символов.

Однако, если вы работаете в сети, к которой также подключен компьютеры под управлением Windows 95 или Windows 98, используйте пароль, который содержит не более 14 символов. Если пароль длиннее 14 символов, может случиться, что вы не сможете войти в сеть с компьютеров, работающих под управлением этих операционных систем.

Намедни наткнулся на интересные выводы анализа недавно утекших учеток с серверов Sony. Думаю эти выводы будут интересны и актуальны.

Как известно, в последнее время Sony выступает мальчиком для битья среди хакеров. Благодаря Sony, много учетных записей и паролей циркулируют в интернете. Недавно, Трой Хант провел небольшой анализ этих паролей. Вот выдержка его поста:

  • Из примерно сорока тысяч паролей, треть подвержена простой атаке по словарю.
  • Только один процент паролей содержал небуквенно-цифровые символы.
  • 93 процента паролей содержали от 6 до 10 символов.

В этом посте, мы исследуем остальные 24 тысячи паролей, которые выдержали атаку словарем.

Распределение символов

Как отмечает Трой, абсолютное большинство паролей содержало только один тип символов — или все в нижнем регистре, или все в верхнем. Однако, всё даже хуже, если мы рассмотрим частоту символов.

В базе паролей существуют 78 уникальных символов. Если эти пароли были бы по настоящему случайными, каждый символ должен встречаться с вероятностью 1/78 = 0,013. Но, когда мы посчитаем реальную частоту символов, мы явно увидим, что распределение не случайное. Следующий график показывает топ 20-ти парольных символов, а красная линия показывает ожидаемое 1/78 распределение.

Неудивительно, что гласные «e», «a» и «o» очень популярны, а также цифры «1», «2» и «0» (в этом порядке). Заглавные буквы не входят в топ двадцатку. Мы также можем построить график суммарной вероятности для символов. В этом графике, красные точки показывают ожидаемый паттерн при использовании настоящих случайных паролей (ссылка на график побольше).

Ясно, что пароли не так случайны как бы хотелось.

Порядок символов

Давайте рассмотрим порядок символов в пароле. Для простоты возьмем только 8-символьные пароли. Самая популярная цифра в пароле это «1». Если бы её расположение было случайным, то мы бы ожидали равномерное распределение. Но вместо этого мы получаем:
##Distribution of «1» over eight character passwords
0.06 0.03 0.04 0.04 0.13 0.13 0.22 0.34
Из этого следует, что из 84 процентов паролей, которые содержат цифру «1», эта цифра случается только во второй половине пароля. Ясно, что люди любят ставить единицу в конце пароля.

Та же картина с цифрой «2»:
0.05 0.05 0.04 0.05 0.13 0.11 0.30 0.27
И с «!»
#Small sample size here
0.00 0.00 0.00 0.00 0.00 0.11 0.16 0.74
Мы наблюдаем похожие паттерны и с остальными буквенно-цифровыми символами.

Число символов необходимых для угадывания пароля

Предположим, мы соберем все возможные пароли используя первые N самых популярных символов. Сколько паролей мы покроем в нашей выборке? Следующий график показывает пропорцию паролей покрытых в нашем списке используя первые N символов:


Для покрытия 50% паролей в списке, нам понадобилось 27 первых символов. Собственно, использование только 20 символов покрывает около 25% паролей, а использование 31 символа покрывает 80% паролей. Помните, что эти пароли не поддались атаке по словарю.

Обычно, когда мы подсчитываем вероятность угадывания пароля, мы предполагаем, что каждый символ выбирается с одинаковой вероятностью, то есть вероятность выбора «e» равна выбору «Z». Это явно неверно. Также, в последнее время много систем заставляют пользователей выбирать различные типы символов в паролях. А это так просто добавить циферку в конец. Я не хочу рассматривать эффективные техники подбора паролей, но понятно, что брутфорс не тот метод.

Лично, я забросил попытки запомнить пароли давным давно и просто использую менеджер паролей. Например мой WordPress пароль длинее 12-ти символов и состоит из совершенно случайных цифр, букв и спец. символов. Конечно, вам лишь нужно держать свой менеджер паролей защищенным…

От переводчика: Да, я таки попал в категорию людей приписывающих единички и восклицательные знаки для обхода настырных сайтов. Sad but true.

Оцените статью: Поделитесь с друзьями!

Как придумать надежный пароль на телефон и ПК

Из-за одного ненадёжного пароля может возникнуть много проблем. Предположим, хакер подобрал пароль к вашей основной почте. Из писем он узнал, что вы пользуетесь Айклаудом, восстановил к нему доступ и заблокировал ваш айфон. После этого сбросил пароль к вашей странице на Фейсбуке, и получил доступ к личным сообщениям. В переписках злоумышленник нашел фото ваших документов, номер телефона и банковской карты. Он использовал эти данные в чате с банком, привязал к аккаунту другой номер, попал внутрь и получил доступ к вашим деньгам.

В этой статье разберёмся, как придумать сложный пароль и защититься от взлома.


Какие пароли ненадёжные

Ненадёжные пароли – это обычные слова или фразы, буквы или цифры, идущие подряд. Люди часто используют их, когда не задумываются о безопасности или просто хотят побыстрее закончить регистрацию. Пароль ненадёжный, если он состоит из:

  • последовательности цифр: 12345, 337799, 10011001
  • даты рождения: 13051990, 19900513, 0513
  • номера телефона: 0998765432, 0976543210
  • распространённых слов: password, qwerty, administrator
  • вашего имени, имён родственников или домашних животных: anton, alex, sveto4ka, barsik, kesha
  • географического названия: ukraine, mississippi, pacificocean
  • юзернейма или его части: username_example, antonio
  • электронной почты: [email protected], [email protected]

Такие пароли легко подобрать. Например, хакеру понадобится меньше суток, чтобы подобрать пароль «anton13051990» и всего 13 секунд для пароля «qwerty12345».

Проверьте ваш в анализаторе надёжности паролей.

Какие пароли надёжные

Надёжные пароли – это комбинации из прописных и строчных букв, цифр и специальных символов. Попробуйте пробежаться пальцами по клавиатуре и получите такой пароль:

[email protected]!kX74a
E5u73$zOf&9azUa
YgC3£i4%rJqyB80
Oz!x43cVe$oz5S
[email protected]&39uzxC1ka0

Чтобы подобрать такой пароль, понадобится несколько столетий. Даже самые умные хакеры столько не живут.

Как создать надёжный пароль

Возможно, у вас уже появилась идея как создать пароль. Если ничего не приходит в голову, попробуйте такой способ:

1. Возьмите любую случайную фразу, например – ЛондонПариж.
2. Напишите её транслитом: LondonParizh.
3. Замените часть букв на специальные символы. Будет проще запомнить, если замените буквы по принципу схожести. Например, а на @, i на !, о на 0. Вот что получилось: [email protected]!zh.
4. Теперь добавьте в конце каждого слова цифры. Это могут быть ваши любимые числа, ваш возраст или код оператора. Посмотрим, что вышло в итоге: [email protected]!zh097.

Вместо случайной фразы можете выбрать любую запоминающуюся комбинацию. Например, цвета радуги, ноты или дни недели. С днями недели это будет выглядеть так:

1. Берём двухбуквенные сокращения нечётных дней недели и пишем транслитом: PnSrPtVs.
2. Добавляем в конце каждого дня недели число из таблицы умножения на 5: Pn5Sr10Pt15Vs20.
3. Добавляем специальные символы – меняем t на +, s на $: Pn5$r10P+15V$20.
4. Получилось 15 символов. Несложно запомнить, сложно взломать.

Такие способы хороши, если вы хотите легко запомнить свой пароль и не копировать его каждый раз из менеджера паролей. Что это — читайте ниже.

Где хранить пароли

Лучше всего хранить пароли в уме. Туда хакерам точно не добраться. Если решите записать его на бумажке или сохранить в заметках смартфона, помните – эти способы ненадёжны. Поэтому будьте осторожны. Всегда есть шанс, что заметки увидят другие.

Новый пароль всегда трудно запомнить. Лучший способ это сделать – первое время не сохранять пароль, а вводить его вручную. После нескольких десятков попыток выработается механическая память, и вы начнёте вводить пароль рефлекторно.

Труднее запомнить много паролей одновременно. Для таких случаев есть менеджеры паролей: KeePass, LastPass или Roboform. Это программы, которые запоминают и хранят пароли за вас. Вам нужно только придумать и запомнить главный пароль – для входа в программу. Раз это главный пароль, пусть он будет самым длинным и сложным.

О том, какой менеджер паролей выбрать, мы напишем отдельную статью. А пока ещё раз о том, что делать со своими паролями:

Да
Запомнить
Завести менеджер паролей

Нет
Записать на бумажке
Сохранить в заметках смартфона
В текстовом документе на компьютере
В айклауде

Как не рассекретить пароль

Мало придумать надёжный пароль – нужно ещё соблюдать осторожность, чтобы не раскрыть его для хакеров. Хранить пароли в голове – это первый шаг. Но этого мало, потому что хакеры могут перехватить их в момент ввода. Чтобы сохранить свои пароли в тайне, попробуйте:

  1. Создать новый пароль для каждого важного сервиса.
  2. Включить двухфакторную аутентификацию везде, где есть эта опция.
  3. Не сохранять пароли в браузере.
  4. Не вводить пароли на сайтах без SSL-сертификата.
  5. Никому не доверять и не называть пароль. Даже друзьям. Даже родителям.
  6. Менять пароль каждый раз, когда кажется, что его могли украсть. В остальных случаях менять пароль не реже, чем раз в 6 месяцев.

Требования к паролям — полная чушь / Хабр

Знаете, что самое худшее в паролях (

а там есть из чего выбирать

)? Требования к их сложности.

«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».

Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.

Мир буквально погряз в ужасных правилах создания паролей:

→ Тупые требования
→ Примеры плохой политики
→ Доска позора

Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.

Видели этот классический комикс о паролях от XKCD?

Разумеется, можно спорить, стоит ли считать «correct horse battery staple» примером хорошей стратегии для создания паролей, но суть аргумента в том, что длина решает.

Нет, серьезно, решает. Скажу даже больше: зуб даю, что ваш пароль слишком короткий. В наше время, учитывая, насколько развиты облачные вычисления и взлом паролей с помощью GPU, ставить пароль в 8 символов или короче — все равно что вообще его не ставить.

Тогда, получается, одно правило у нас уже есть: пароль не должен быть коротким. Длинный пароль с большей вероятностью окажется надежным, чем короткий… правда же?

А что скажете о таком пароле в 4 символа?

Или о таком, в 8 символов?

Или о таком, гипотетическом, но вполне реалистичном, в 7 символов?

«Извините, но ваш пароль должен содержать не менее одного символа из арабского, китайского, тайского, корейского и клингонского, пиктограмму из Wingdings и смайлик».

Кроме того, вы, наверное, удивитесь, но если вставить вышеприведенные 4 смайлика в поле пароля из вашего любимого окна авторизации (давайте, попробуйте), окажется, что там на самом деле… вовсе не четыре символа.

Господи.

Наш старый друг Юникод опять за свое.

Как выясняется, даже простое правило «ваш пароль должен быть разумной длины» работает с оговорками. Особенно если перестать мыслить, как двинутые на ASCII американцы.

Да и если присмотреться ко всем этим славным длинным паролям… всегда ли они надежны?

aaaaaaaaaaaaaaaaaaa
0123456789012345689
passwordpassword

usernamepassword

Конечно, нет. Вы вообще видели живых пользователей в последнее время?

Они последовательно портят каждую программу, которую я создаю. Да, да, знаю, вы гики в последней стадии и знаете всё о понятии энтропии. Но выражать свою любовь к энтропии через ужасные изощренные требования к паролям вроде:

  • должны содержать прописные буквы;
  • должны содержать строчные буквы;
  • должны содержать числа;
  • должны содержать специальные символы.

в мире, где есть Юникод и смайлики, значит не иметь воображения.

Когда мы работали над Discourse, я узнал, что окошко авторизации, оказывается, очень сложный компонент софта, несмотря на внешнюю простоту. Главное требование к паролям, которые мы приняли — длина — также было достаточно простым. Пока я писал эту статью, мы уже успели увеличить минимальную возможную длину пароля с 8 до 10 символов. А для модераторов и администраторов и решили поставить нижнюю границу еще выше, на 15 символах.

Кроме того, я настаивал на том, чтобы проверять, не совпадает ли пароль с каким-нибудь из списка 100 000 самых распространенных. Если проанализировать 10 миллионов паролей, которые попали в общий доступ из-за утечек данных, выясняется, что чаще всего используются следующие 25:

123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e

Даже эти данные свидетельствуют об излишней зацикленности на системе ASCII. То есть цифры-то, конечно, везде одинаковые, но мне как-то не верится, что среднестатистическому китайцу придет в голову поставить в качестве пароля «password», «quertyuiop» или «mynoob». Так что такие списки необходимо составлять с учетом локализации и прочих параметров.

(Есть еще интересная мысль: искать популярные короткие пароли в составе длинных, но, как мне кажется, получится слишком много ошибок первого рода)

Представленная статистика также свидетельствует в пользу того, чтобы делать пароли длиннее. Обратите внимание: из 25 самых популярных паролей только 5 имеют длину в 10 символов и больше. Соответственно, если мы установим минимум в 10 символов, то уже одним этим отсечем 80% списка. Впервые я это выяснил, когда собрал несколько миллионов паролей из утечек данных в рамках исследования для Discourse и отфильтровал те, которые соответствуют нашему новому требованию, чтобы длина пароля была не меньше 10 символов.

И внезапно от огромного списка остались рожки да ножки. (Если вы тоже проводили подобные исследования, поделитесь, пожалуйста, результатами в комментариях)

Я хотел бы предложить коллегам-разработчикам следующие рекомендации, продиктованные исключительно здравым смыслом:

1. Требования к паролям — полная чушь

  • Они не работают.
  • Они наказывают аудиторию, которую вам нужно привлекать в первую очередь, — тех, кто пользуется рандомными генераторами паролей. Прикиньте, рандомный пароль может и не содержать в себе цифры или символа. Я два раза сверился с учебником по математике, и да, вроде бы такое вполне возможно.
  • Они раздражают основную массу пользователей, отбивая у них охоту с вами сотрудничать и подстегивая искать всякие «остроумные» лазейки. В результате пароли получаются менее надежными.
  • Они часто ошибочны, в том смысле, что предложенный набор правил недостаточен или попросту нелеп. Достаточно посмотреть на любой пример с доски позора, на которую я ссылался выше.
  • Нет, правда, ради всего святого, хватит уже этой ерунды с произвольными требованиями к паролям. Если не верите мне, почитайте рекомендации по требованиям к паролям от NSIT. Вот, так и написано: «избегайте устанавливать правила создания паролей». Хотя, на мой взгляд, тут есть одна неточность, надо было написать: «избегайте устанавливать тупые правила».
2. Установите минимальную длину пароля в Юникоде

Одно правило, по крайней мере, легко запомнить, понять и внедрить. Это то самое пресловутое правило, чтоб править всеми, оно главнее всех, сберёт всех вместе и заключит во тьме.

  • Это просто. Пользователи умеют считать. Ну, большинство умеет.
  • Это работает. Статистика подтверждает, что это работает: просто скачайте любой список популярных паролей на ваш выбор и рассортируйте их по длине.
  • Математика не даст соврать. При прочих равных условиях длинный пароль будет более рандомным, чем короткий, а значит, и более надежным.
  • Смиритесь с тем, что даже у этого единственного правила будут исключения. Минимальная длина в 6 символов на китайском сайте — это вполне разумно. С другой стороны, пароль в 20 символов может быть до смешного простым для взлома.
  • Если в ваше поле пароля нельзя ввести (практически) любой символ из Юникода, вы скорее всего что-то делаете не так.
  • Это уже больше относится к частностям реализации, но не забудьте также установить вменяемую максимальную длину пароля.
3. Сверяйтесь со списком самых распространенных паролей

Как я уже говорил, какие из них считать «распространенными», зависит от вашей аудитории и языка, но в любом случае, позволяя пользователям ставить пароли из списка 10 000, 100 000 или миллиона самых популярных паролей из утечек данных, вы оказываете им медвежью услугу. Нет ни малейшего сомнения, что хакер попробует эти пароли при попытке взлома, и, даже если вы ставите жесткие ограничения на количество попыток ввода,

достаточно прогнать первую тысячу

, чтобы добиться шокирующе хороших результатов.

  • у 1.6% пользователей пароль из числа 10 самых популярных;
  • у 4.4% пользователей пароль из числа 100 самых популярных;
  • у 9.7% пользователей пароль из числа 500 самых популярных;
  • у 13.2% пользователей пароль из числа 1000 самых популярных;
  • у 30% пользователей пароль из числа 10 000 самых популярных.

Но вам повезло: в Сети можно найти целые миллионы списков «обнародованных» паролей. Производить расследование с опорой на эти данные даже весело — ведь это не какие-то вам абстрактные, искусственные правила, которые насочинял какой-нибудь программист со скуки. Нет, это самые настоящие пароли, которые использовали самые настоящие пользователи.

Проводите исследования. Собирайте данные. Спасайте пользователей от самих себя.

4. Контролируйте количество энтропии

Тут ничего особо заумного, просто выберите ту величину, которая инстинктивно кажется вам подходящей в глубине души. Но не забывайте: вам придется объяснять свою логику пользователям, которые не пройдут проверку.

Я с некоторой грустью осознал, что нас вполне устраивает, чтобы пользователь установил пароль из 10 совершенно одинаковых символов («аааааааааа»). На мой взгляд, самый простой способ избежать такой ситуации — задать минимум в x уникальных символов на общее число y. Так мы и поступаем в последней бета-версии Discourse. Но если у вас есть какие-то другие идеи, будем рады услышать их в комментариях. Чем проще и яснее, тем лучше!

5. Отлавливайте особые типы паролей

Стыдно признаться, но, реализуя окошко авторизации для Discourse, мы совершенно забыли про два распространенных случая, которые необходимо отслеживать и пресекать (

я упоминал об этом в другой статье

):

  • пароль, который совпадает с именем пользователя;
  • пароль, который совпадает с e-mail.

Если у вас стоит Discourse версии 1.3 и ниже — мне очень жаль, пожалуйста, обновите его как можно скорее.

Также, возможно, вам стоит блокировать еще некоторые разновидности:

  • пароль, который совпадает с URL сайта или именем домена;
  • пароль, который совпадает с названием приложения.

Если вкратце, старайтесь мыслить, выходя за рамки поля для ввода — совсем как ваши пользователи.

Пояснение

Некоторые читатели восприняли мои слова как «все правила, кроме этих четырех, которые я сейчас распишу — полная чушь». Я имел в виду другое.

Мысль такая: сосредоточьтесь на одном ясном, простом и практичном правиле, который реально работает в любой ситуации — длине. Пользователи могут вводить что угодно (в разумных пределах) на Юникоде с одним условием — чтобы было достаточно символов. Пароль должен быть длинным — это то самое единственное собирательное правило, которому мы должны научить пользователей.

Пункты с третьего по пятый — это просто оговорки для особых случаев (типа как джину нельзя загадывать желание получить неограниченное число желаний). Тут не нужно каких-то предварительных обсуждений, потому что такие вещи должны быть редкими исключениями. Пользователей нужно останавливать, если они пытаются ввести пароль, совпадающий с именем, или 0123456789, или просто «аааааааааааа», но это должно происходить в рамках проверки данных после ввода, а не в соответствии с предварительно разъясненным правилом.

Так что, если в двух словах: правило одно — длина. Вводите что ваша душа пожелает, лишь бы количество символов тянуло на нормальный пароль.

Какими должны быть пароли для защиты эккаунтов

Чем разнообразнее и многофункциональнее становятся устройства, которыми мы пользуемся, тем изощреннее попытки мошенников нажиться на проникновении в них. Но мошенники — народ ленивый, и в этом наше спасение.

Один из самых распространенных видов мошенничества — взлом компьютера, эккаунта, доступа к электронным хранилищам, серверам, рабочим местам администратора и т. д. Есть различные методы, позволяющие выудить из наивного или тревожного пользователя пароль: написать письмо от сервисной службы о взломе системы с просьбой сообщить свой пароль для восстановления данных, подсунуть фальшивое окно регистрации и т. п. Здесь правило одно: не верьте, перепроверяйте и не ведитесь. Настоящая администрация серьезного ресурса никогда не будет спрашивать пароли. Второй способ проникнуть через регистрационный барьер — подобрать пароль с помощью технологии Брутфорс методом перебора различных комбинаций. Как вы думаете, за сколько времени можно подобрать ваш пароль?

Например, пароль, содержащий 8 цифр даты рождения (только цифры), подбирается за 1–2 секунды. Имя в качестве пароля — чуть дольше. Если используются строчные и заглавные буквы — это на порядок усложняет подбор, но все-таки речь идет о минутах. Если пароль содержит строчные буквы и цифры, то на его подбор уйдет несколько дней. Пароль типа «NK6-iSPNR» будет подбираться несколько лет. А пароль, в котором больше 10 символов разного типа, может потребовать для расшифровки нескольких миллионов лет.

Вывод прост: сложный пароль — защита от многих неприятностей такого рода. Какой пароль можно считать достаточно сложным?

Основные требования к паролям:

  • Пароль должен быть максимально длинным (как минимум, 12–14 символов) и сложным, случайным. Не должно быть никакой информации, которую можно угадать: имена, дни рождения, номера телефонов, номер страховки, клички любимцев, паспортные данные, личные идентификаторы и пр.
  • Не должно быть символов, идущих подряд на клавиатуре.
  • Есть четыре группы символов, которые используются в паролях: латинские прописные буквы, латинские строчные, цифры, неалфавитные символы. Для хорошего пароля требуется, чтобы в нем были символы, как минимум, из трех групп.

Сложные пароли трудно запоминать, и возникает искушение придумать один сложный пароль, выучить его и использовать во всех эккаунтах. Чем опасна такая ситуация? Если вы регистрируетесь на маленьком сайте, который не имеет ресурсов для защиты, ваш эккаунт легко взломать, а, следовательно, получить доступ к электронной почте и другим эккаунтам. Согласитесь, неприятно лишиться сразу всех электронных ресурсов и конфиденциальных данных и личной переписки, которые там имеются. Эти данные можно использовать, например, для оформления кредита на ваше имя.

Как запомнить длинный и случайный пароль?

Можно, например, придумать кодовую фразу и запомнить от нее первые буквы. При этом не брать дежурную фразу, которую легко подобрать. Но лучше всего, если пароль бессмысленный.

Наиболее современное решение — использовать менеджер паролей. Чаще всего они либо бесплатные, либо недорогие. Его функция заключается в генерации сложных паролей и хранении их под защитой главного пароля, который называется «мастер-пароль». То есть не нужно запоминать десятки паролей, а только пароль от менеджера паролей. Менеджер паролей и один пароль ко всем эккаунтам — это не одно и то же, поскольку это всего лишь пароль от места хранения. Выбор менеджера паролей — задача серьезная, изучите максимум информации о нем, прежде чем сделать выбор. Практика показывает, что взлом менеджера паролей происходит крайне редко. И даже после взлома менеджера паролей злоумышленник не получит доступ ко всем паролям, так как здесь применяется дополнительное шифрование.

В крупных организациях имеются регламенты, регулирующие действия по парольной защите. Они, как правило, включают следующие требования:

  • Личные пароли генерируются и распределяются централизованно, либо сотрудник сам его придумывает, соблюдая требования, о которых мы писали выше.
  • При смене пароля новый пароль должен отличаться от предыдущего, как минимум, 6 символами.
  • Пароли для обычных пользователей должны быть не короче 8 символов, для SNMP Community Strings — не менее 10 символов, для сервисных идентификаторов — не менее 14 символов, для администраторов — не менее 15 символов.
  • Периодичность смены паролей: административные — раз в два месяца, пользовательские — раз в три месяца, сервисные — раз в полгода, Shared keys SNMP Community Strings — раз в год. Также пароли должны меняться в случае увольнения сотрудника или его перемещения на другую должность.
  • Не следует хранить или передавать пароли в незашифрованном виде по интернету, локальной сети, электронной почте. Не хранить в виде файла в компьютере. Не отправлять по почте.
  • Не стоит пароли записывать на бумагу, в память телефона, нельзя проговаривать вслух. Тем более нельзя хранить на стикере, прикрепленном к компьютеру или под клавиатурой.
  • Передавать пароли нельзя никому и никогда. Передача пароля может считаться нарушением режима конфиденциальности, сотрудник, допустивший его — подвергнуться штрафу или иным санкциям.
  • В любых программах и браузерах запрещается пользоваться функцией «Запомнить пароль».
  • После пользования паролем с чужого компьютера, из мест общего доступа пароль подлежит замене. С таких компьютеров запрещается входить в интернет-банкинг или в эккаунт платежных систем.

Компании устраивают проверки паролей путем учебной атаки. Также службы безопасности проводят контроль соответствия паролей требованиям (если это не проверяется автоматически при смене пароля): они просят сотрудника назвать пароль и вводят его. После такой процедуры пароль немедленно должен быть сменен.

Каким образом осуществляется защита от взлома? Настройки безопасности информационных систем должны быть таковы, что после 3–5 неверных попыток набрать пароль учетная запись должна блокироваться не менее, чем на 15 минут. В особо критичных случаях предусмотрена специальная процедура разблокирования. Пароль не должен отображаться на экране явно. Ну и, конечно, при первоначальном вводе пароля система должна запросить повторное его введение. Кроме того, принимаются меры, чтобы обратить внимание сотрудника на раскладку: пароли вводятся, как правило, латиницей.

Особо ответственно нужно подходить к паролям сервисных ученых записей. Они никогда не хранятся целиком. Их разбивают, как правило, на две части, каждая из которых составляет не менее 7 символов. Требования к сложности пароля такие же, как и для пользователей, администраторов и пр. Части пароля хранятся в сейфе в разных конвертах, защищенных от просвечивания. Ответственные лица регулярно проверяют, на месте ли конверты, и не повреждены ли они. Обновление пароля или его вскрытие фиксируются в специальном журнале. Определяются ответственные лица, которые имеют доступ к конвертам и имеют право их вскрывать.

Смена паролей в организации совершается по установленному регламенту. Это происходит периодически, согласно утвержденным срокам, или если есть подозрение, что пароль скомпрометирован. В таком случае нужно как можно быстрее поменять пароль, поставить в известность техподдержку и сообщить службе информационной безопасности. Если сотрудник увольняется или его переводят на другую должность, пароль меняют технические специалисты.

Пароли хранятся в запечатанном конверте в сейфе, к которому имеет доступ руководитель подразделения или сотрудник службы безопасности. Это единственный допустимый вариант хранения паролей в записанном виде. Делается это для того, чтобы в экстренных случаях можно было получить доступ к компьютеру сотрудника. Обычно устанавливается временной интервал, в течение которого нужно передать новые пароли на хранение. При этом старые пароли уничтожаются. Если сотрудник отсутствует на рабочем месте более 60 дней, его учетная запись блокируется. О наступлении необходимости такой блокировки службе безопасности сообщает кадровая служба. Учетные записи уволенных сотрудников удаляются.

Как система StaffCop Enterprise может помочь в непростом деле защиты паролей? Во-первых,гибкая настройка политик безопасности позволяет оградить внутреннюю сеть от проникновения вредоносных программ. Например, программа может просигнализировать в случае запуска программы, помещенной в черный список. А в случае возникновения инцидента StaffCop предоставляет все возможности для его расследования.

Для хищения данных, проникновения во внутренние сети и других неблаговидных действий злоумышленники склонны ходить проверенными путями, рассчитывая на наивность и доверчивость пользователей. Следуя несложным правилам безопасности и проявляя бдительность, вы защитите себя от большинства рисков.

Как создать надежный пароль для защиты счетов в Сбербанк ОнЛайн

Пароль – это первый и основополагающий рубеж в защите учетной записи в интернете. Однако, многие люди при его создании и использовании совершают кардинальных ошибки, возникающие в результате пренебрежения элементарными правилами безопасности.

Пароль, чтобы он оставался паролем, должен быть максимально безопасным. Конечно, мы никогда не достигнем полной безопасности: находчивый хакер может получить доступ к счету без пароля. Но соблюдение нами элементарных правил безопасности значительно затруднит жизнь ворам и снизит риски кражи.

Тем не менее, в большинстве случаев злоумышленник не приходится даже подбирать пароль, так как пользователи приподносят свои данные «на блюдечке».

Если у Вас установлен простой пароль, которым, с большой вероятностью, пользуются другие люди – то, на самом деле, у Вас нет никакого пароля. Это правило касается не только входа в банк, но и всех других веб-сайтов, на которых авторизация происходит с помощью пароля.

Не используйте популярных паролей

Так как большинство пользователей имеет несколько учетных записей, требующих ввода кода доступа (банковский счет, веб-почта, интернет-магазин, социальные сети и т.д.), как правило, они выбирают самый простой путь – используют один пароль на всех сервисах.

Большинство пользователей при создании пароля, к тому же, использует последовательность букв (или цифр), которые легко запомнить. Именно такие наши привычки используют киберпреступники.

Статистически можно предположить, что почти половина из нас использует хоть один пароль, который входит в группу популярных паролей.

К наиболее популярным относятся:

  • 123456 – это никого не удивляет, потому что большинство сайтов требует введения по крайней мере 6-значного пароля, и некоторые пользователи вписывают то, что видят на цифровой клавиатуре;
  • password – или по-русски «пароль». Много лет входит в число лидеров среди кодов доступа. Её легко запомнить, и также легко взломать;
  • 12345678 – более «продвинутая» версия 6-значного цифрового пароля;
  • qwerty – звучит немного сложно, но это до первого взгляда на клавиатуру;
  • 12345 – «упрощенный» цифровой пароль.

Среди более «продвинутых» паролей можно выделить:

  • abc123;
  • zaq12wsx (в разных версиях, вводимые снизу, сверху, а в более сложной версии: zaq1xsw2).

Помните: если вы используете один из популярных паролей или аналогичный, смените его как можно скорее, потому что вы ставите свои деньги и данные в большую опасность!

Не используйте пароли, которые легко взломать

Если Вы не находитесь в кругу любителей самых популярных паролей, постарайтесь чтобы ваш пароль был «крепким орешком» для злоумышленника.

Банки часто заставляют нас использовать более сложные пароли: с заглавными буквами, цифрами, специальными знаками, однако, многие из нас облегчают себе задачу и создают код по формуле: Largeletter12! – большая буква в начале, цифры и специальные знаки в конце.

Иногда нам трудно расстаться с паролями, для создания которых мы приложили некое усилие, или которые имеют для нас какой-то эмоциональный размер, например, дата рождения, имена детей и т.д. Избегайте их – помните, пароль – это наш «сторож»: он должен защищать ваше имущество и не стоит с ним связываться эмоционально.

Помните: не используйте простых шаблонов паролей. Не используйте также кодов, которые в эпоху интернета легко найти, например, даты рождения, имена детей или место жительства.

Не сообщайте свои пароли даже родственникам

Этот совет может показаться банальным, но он проверен опытом: никогда не сообщайте свои пароли, ни тем более списка одноразовых кодов третьим лицам, даже очень близким.

Если вам нужно сохранить пароль (не скрываем – сложные пароли трудно запомнить), держите эту информацию скрытой.

Будьте осторожны с попытками вымогательства

Ни один банк никогда не попросит выслать пароль, логин или одноразовые коды по электронной почте или сообщить по телефону, ни в какой экстренной ситуации, ни тем более «по акции», «в честь», «для премии» и т.д.

Трудно даже представить себе такую ситуацию, когда сотрудники банка не могут Вам помочь, не получив от Вас пароль – подозрительно, не так ли?

Важный вопрос – если кто вломиться к Вам домой, всегда, как можно скорее, желательно сразу после приезда полиции, блокировать ваши учетные записи и сообщить о событии в свой банк.

Правила создания надёжных паролей

Основным критерием создания пароля должна быть его «устойчивость». Все приведенные ранее примеры были слабыми паролями (а некоторые можно даже назвать открытой калиткой):

  1. Используйте пароле цифры, буквы и специальные символы.
  2. Используйте и большие, и маленькие буквы.
  3. Замените некоторые буквы или цифры на специальные символы и расположите символы в пароле таким образом, чтобы их было не просто прочитать, например: lU3l&n
  4. Чем больше символов в пароле вы применяете, тем лучше – любой пароль можно взломать методом brute force, но большое количество символов может сделать эту задачу практически невыполнимой. Для сравнения, время, необходимое взломщику для взлома пароля, состоящего из 6 символов, не более нескольких минут; однако, если мы увеличим количество знаков до нескольких десятков, тогда это время достигнет жизни нескольких поколений.
  5. Не используйте последовательности букв, составляющих популярные имена и слова.
  6. Откажитесь от очевидных наборов цифр, соответствующих дате рождения – такую информацию хакер может легко получить даже из Facebook.
  7. Не бойтесь использовать самые разнообразные символы. Нестандартные символы создают дополнительное сложности для хакеров.
  8. Помните, что для каждой учетной записи, а не только в банке, вы должны использовать уникальный пароль.

Как запомнить пароль

Если вы беспокоитесь, что Вы будете иметь проблемы с запоминанием сложных паролей, вы можете использовать приемы, облегчающие запоминание. Их много, и они действительно полезны.

  1. Если Вам нравится какая-то поговорка или цитата? Возьми первые буквы каждого из слов, например, «Если бы коза не прыгала, ножки были бы целы» можно записать как: ебкнпнббц.
    • В таком пароле вы можете использовать заглавные буквы, например, все беБкнпнББц.
  2. Возьмите одну из любимых книг или фильмов, и используйте их название – удалить все гласные и добавьте год издания, экранизации или премьеры.
    • Старайтесь, однако, избегать «очевидностей»: если Вы поклонник широко известных Звездных войн, то не вздумайте использовать пароль ДартВейдер.
  3. Используйте многократное повторение короткого слова: kubikvkubiknakubike3 (постарайтесь, однако, чтобы это слово имело больше различных символов).
  4. Поменяйте буквы на цифры или специальные символы.

Совет: при создании пароля обратите внимание, чтобы он не был ни слишком коротким, но и ни слишком длинным. Некоторые банки не позволяют использовать пароли длиннее, например, 30 символов. Стоит также выяснить, может ли система банка работать с кириллицей.

Итог: безопасный пароль за 6 шагов

Напоследок напомним основные правила для паролей к банковским счетам:

  1. Не используйте «очевидных»: вашего имени, даты рождения, названия населенных пунктов и т.д.
  2. Старайтесь, по возможности, максимально усложнить свой пароль (буквы, цифры, специальные символы, большие и маленькие буквы)
  3. Не используйте одинаковых или схожих паролей для разных учетных записей и профилей.
  4. Никогда не сообщайте свой пароль банковского счета в ситуации, отличной от входа в свой аккаунт.
  5. Не сообщайте свои пароли посторонним лицам.
  6. Меняйте свои пароли на регулярной основе.

Соблюдение этих правил убережёт Вас от неприятных сюрпризов в виде кражи средств со счета, чтения личных сообщений или взлома на профиль в социальной сети. Помните, что Ваша безопасность в огромной степени зависит от Вас.

Почему пароль jK8v! ge4D представляет угрозу безопасности вашей почты


от: 20-06-2020 13:08 | раздел: О разном…


Сегодня сформировалась фундаментальная проблема с созданием максимально безопасного пароля. Давайте рассмотрим эти два примера: jK8v! ge4D и greenelephantswithbrick.

Какой пароль, по вашему мнению, отнимет больше всего времени для взлома с помощью компьютера? А какой пароль вы считаете самым простым для запоминания? Ответ на оба эти вопроса всего один: пароль № 2. Тем не менее современным пользователям постоянно предлагается создавать пароли, которые выглядят как вариант № 1. На многих сайтах при регистрации буквально заставляют придумывать пароли, которые обычным людям абсолютно нереально запомнить, причем без какой-либо разумной причины.

Давайте поговорим об этом…

В интернет-стандартах сегодня появилось немало странных вещей, и идентификация пользователя является одной из них. Никто не будет спорить, что, разрабатывая внешний интерфейс для любого серьезного сайта, разработчики должны учитывать возможность проверки входных данных, которые пользователи вводят в так называемые «поля ввода». Это поля, которые вы используете, когда вводите свое имя пользователя, адрес электронной почты, домашний адрес, свой почтовый индекс и т.д. Обязанностью разработчика «движка» сайта является обеспечение того, чтобы пользователь не вводил ничего злонамеренного или неправильно отформатированного в эти поля.

Например, поле, которое запрашивает почтовый индекс, обычно допускает только пробелы и цифры, и если мы знаем, в какой стране живет пользователь, мы также можем ограничить его определенным количеством символов. Телефонные номера часто могут включать знак номера (# или №), знак плюс (только в начале) и тире. Возможно, некоторые «староверы» еще  применяют и скобки для выделения, например, кода оператора. Адреса электронной почты сложно проверить, однако общепринятая практика заключается в том, что они должны содержать знак (@), за которым следует точка, даже притом что сегодня у совершенно корректного адреса электронной почты может не быть ни одного из этих атрибутов. Некоторые веб-сайты пытаются проверять имена, заставляя людей вводить свои имена в пределах определенной длины или использовать только определенные символы, хотя такая проверка никогда не срабатывает, поскольку имена людей могут быть какими угодно.

Подобная валидация осуществляется по нескольким причинам. Одной из них является проблема безопасности. Проверка не позволяет пользователям вводить особый программный код в поля, которые могут изменить базу данных или выполнить другие вредоносные действия. Вторая причина – форсировать определенный тип данных. Если предполагается, что поле состоит только из цифр, инженер базы данных мог бы установить столбец базы данных, который учитывает только цифры, что означает, что символ, который не является числом, может вызвать ошибку ввода.
Но главная причина этих действий действительно состоит в том, чтобы помочь пользователю избежать ошибок.

Принудительные пароли

По ряду причин предполагается, что разработчики внешнего интерфейса будут направлять пользователей к вводу того, что традиционно считается хорошим паролем. Обычно предполагается, что надежное «слово» должно быть длиной не менее восьми символов, включая заглавные и строчные буквы, какое-то число, и, если мы действительно чувствуем себя уязвимыми, даже содержать специальный символ, например, восклицательный знак.

Вот пример того, что вы уже видели в начале статьи и что обычно считается надежным паролем: jK8v! Ge4D. Учитывая тот факт, что вас часто просят ввести подобный пароль, было бы справедливо с вашей стороны предположить, что он действительно надежный.
Но на самом деле все совсем не так. Это – плохой пароль!

Во-первых, как кто-то может вообще его запомнить? В конечном итоге пользователи не смогут вспомнить свой пароль в нужный момент, и потому им придется записать его на бумажке, чтобы в любой момент «подсмотреть». И где они его запишут? Конечно, на клейкой бумажке вроде Post-It, наклеив потом где-то возле монитора или, в лучшем случае, в выдвижном ящике рабочего стола. И все… В итоге такая беспечность всегда заканчивается тем, что рано или поздно пароль оказывается взломанным.

Во-вторых, пользователи в конечном итоге всегда используют один и тот же пароль для разных сервисов, потому что очень неприятно запоминать и записывать целую кучу этих сложных паролей. Когда вы создаете учетную запись для достойного веб-сайта, закулисный магический код преобразует ваш пароль в хэш (обычно и неправильно называемый шифрованием). В базе данных ваш пароль выглядит примерно так:
k5ka2p8bFuSmoVT1tzOyyuaREkkKBcCNqoDKzYiJL9RaE8yMnPgh3XzzF0NDrUhgrcLwg78xs1w5pJiypEdFX.

И даже если база данных взломана, хакер не сможет ничего сделать с этой информацией. Исходный пароль можно выяснить только тогда, когда он достаточно широко распространен, а алгоритм хэширования достаточно прост, хотя с достаточно приличным паролем, который был правильно хеширован, он, как правило, довольно безопасен.

Проблема в том, что не все сервисы хэшируют пароли своих пользователей. Если вы используете один и тот же пароль сразу для нескольких служб и сервисов, вы можете в конечном итоге использовать плохо запрограммированную службу, которая фактически сохраняет ваш пароль в виде обычного текста в их базе данных. Если они в итоге будут скомпрометированы, хакер фактически получит ваш пароль сразу от всех ваших учетных записей, где вы используете этот самый одинаковый пароль. Это на самом деле очень страшно, и случается гораздо чаще, чем можно представить.

Вот почему вы ДОЛЖНЫ обязательно использовать разные пароли для разных сайтов. Однако сегодняшние пользователи имеют аккаунты на тоннах и тоннах веб-сайтов. Как они должны помнить все свои пароли? Опытные пользователи могут использовать инструмент сохранения паролей, но вы не можете ожидать, что любой средний пользователь будет так делать.

Что делать? Есть способ!

Сколько времени нужно, чтобы взломать пароль?

Посмотрите на эту строку символов: gtypohgt. Это восемь совершенно случайных символов, и, несмотря на то что все буквы строчные, кажется, что такой пароль будет очень надежен. Это ошибочное впечатление. Взлом такого пароля «грубой силой» займет у любого современного компьютера пару минут. Замените некоторые символы несколькими цифрами, и вы получите пароль, на взлом которого уже понадобится до часа (g9ypo3gt). Добавьте несколько символов в верхнем регистре, и взлом такого пароля займет уже несколько дней (g9YPo3gT). Добавьте туда еще специальный знак и «пробел», и теперь срок увеличен до месяца (g9Y! O3gT).

Да, g9Y! o3gT – технически очень приличный пароль. Никто не сможет его угадать, его нет ни в одном известном списке распространенных паролей, и компьютерам потребуется достаточно времени для его взлома. Проблема в том, что этот пароль нереально запомнить обычному человеку.

А теперь взгляните вот на эту красоту: greenelephantswithbricks (зеленые слоны с кирпичами). Это целых 24 символа, все строчные. Нет чисел, нет случайных символов, нет никаких других махинаций, за исключением разве что того, что это – полный бред. И все же такой пароль даже достаточно мощный компьютер будет взламывать тысячи и тысячи лет. Для каждого добавляемого вами «персонажа» во фразе время, необходимое для взлома компьютера, значительно увеличивается. Пароль greenelephantswithbrick не входит ни в один известный список популярных паролей, и никто не сможет его угадать.

Создаем хороший пароль

Сделайте пароль, который рассказывает историю. Нужен пароль на Facebook? Как насчет afaceforabookbutapizzaforahorse (обложка для книги, но пицца для лошади)? Визуализируйте его у себя в голове. Наша пространственная память – самая сильная наша память. Совершенно неожиданно вы получаете невероятно мощный пароль, который при этом легко запомнить, и он будет уникален только для одного конкретного сайта. Пароль должен быть тем, что даже люди, которые знают вас очень хорошо, не могут угадать. Вы нечасто говорите о черепахах? Вы когда-нибудь видели фиолетовую черепаху? Нет? Визуализируйте ее для себя прямо сейчас! Это неправда? А кому какое дело? Врите: Ioncesawapurpleturtleiswear! (однажды я видел фиолетовую черепаху, клянусь! – «лишний» служебный символ восклицательного знака тут, кстати, оказался как раз нелишним). На то, чтобы взломать такую фразу, современный компьютер потратит миллионы лет, и даже ваша родная сестра или жена/муж не смогут его угадать.

Взлом walkingdowngrandpasroadwithlittlerufus (прогулка вниз по дороге с маленьким Руфусом) тоже займет целую вечность. И вообще никто не догадается, даже если все вокруг знают, что вашу собаку зовут именно Руфус, и то, что вы «гуляете с ней по дороге», как раз является вашим паролем.

Любой из таких паролей легко представить, даже если он – полный бред: flyingcarsthatcannotflyarenotflying (летающие машины, которые не умеют летать, не летают). Или как вам пароль с прямой подсказкой для вас: thetramrumblesnearthehouseagain (трамвай снова грохочет возле дома). Даже ваши гости, услышав грохочущий трамвай под вашими окнами, не догадаются, что он только что лишний раз напомнил вам пароль для входа в вашу почту.

Тем не менее некоторые сайты не позволяют создавать подобные пароли. Они будут «жаловаться» на то, что вы не добавили в них число или заглавные буквы, или что они слишком длинные, или по какой-то другой бессмысленной нетехнической причине.
Но вы все-таки можете слегка обмануть систему. Добавьте, например, «А1!» (без кавычек) в конце любого из вышеуказанных паролей, и они будут приняты любой системой. Теперь у вас в пароле есть и заглавные буквы, и цифры, и специальный знак. Даже если эти три символа одинаковы для всех ваших паролей, остальная часть каждого уникального пароля легко компенсирует совпадение. «Черепаший» пароль ioncesawapurpleturtleiswear и его же версия ioncesawapurpleturtleiswearA1! почти не отличаются, но одинаково хорошо защитят компьютер, и при этом второй вариант не заставит «ругаться» систему, которая обязательно требует наличия в пароле таких символов.

Намерение разработчиков можно понять. Люди постоянно вводят плохие пароли. Менеджеры веб-сайтов не хотят получать неприятных скандалов, когда почтовый ящик или учетная запись беспечного пользователя оказываются взломанными. Поэтому они пытаются заставить пользователей вводить приличные пароли, какими бы громоздкими они ни были.

Запомните эту технику в следующий раз, когда вам нужно будет создать пароль. Придумайте что-то оригинальное и сложное, что нереально взломать, но зато будет очень легко запомнить именно вам, а не наоборот.

Да, но даже если вы этого не сделаете, просто пообещайте держаться подальше от любых сочетаний вроде 123456password123 и qwerty. Это на самом деле ОЧЕНЬ плохие пароли. И только поэтому разработчики все еще заставляют вас придумывать кошмарные наборы наподобие jK8v! Ge4D.

Круг замкнулся…

Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!

Джейкоб БЕРГДАЛЬ

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  


И еще об интересном…
  • Что случилось в первый день PHDays 8 или «Цифра» наизнанку
  • Как Microsoft создает Xbox One X — самую мощную игровую консоль в мире (+видео)
  • Почему разблокировка телефона лицом — плохая идея, или как взломать Face ID (+видео) Обновлено!
  • Xbox One vs PS4: Самое детальное сравнение двух платформ
  • LG G6: большой тест — обзор
  • AppleTV: консоль, медиапроигрыватель или…
  • Java — великий и могучий

  • Надежный пароль — каким он должен быть и как это проверить? G-ek.com

    При регистрации на каком-либо сайте пользователям рекомендуют придумать сложный и надежный пароль. И к этим рекомендациями стоит относиться серьезно, чего, к сожалению, делает далеко не каждый пользователь, создавая легкий для запоминания и, значит, слабый и неустойчивый к взлому пароль, который был придуман еще 5-10 лет назад.

    Почему в наше время не следует использовать парольные фразы, совсем недавно считавшиеся надежными? Какой пароль может считаться сильным и как определяется его надежность? Как создать пароль, устойчивый к взлому? Где хранить все мои сложные пароли, если запомнить их невозможно? Ответим на эти вопросы.

     

    Почему надежные пароли перестают быть надежными?

    Обычный номер телефон или какая-нибудь 8-значная цифра с парой букв в начале или конце – такой пароль несколько лет назад считался достаточно надежным и устойчивым к взлому. Но с развитием технологий и, как следствие, мощностей вычислительной техники парольные фразы, считавшиеся совсем недавно сильными, перестают быть таковыми. Причина простая – основные программные и/или программно-аппаратные средства взлома паролей также становятся все более мощными.

    Наиболее известный и часто использующийся метод взлома паролей – брутфорсинг – предполагает перебор всех возможных символов – до тех пор, пока не будет подобрана подходящая их комбинация. Примерно то же самое происходит и при использовании метода «атаки по словарю», но вместо того, чтобы перебирать символы, используется большой список заранее подготовленных паролей или их хэшей (т.н. «Радужные таблицы»). В любом случае, чтобы добиться результата, может потребоваться очень и очень много времени. Но время это уменьшается пропорционально увеличению вычислительных мощностей оборудования, при помощи которого осуществляется взлом. К примеру, если раньше для взлома пароля вроде «16875321qwe» требовалось потратить (допустим) пару лет, то сегодня для этого потребуется всего пара дней, а то и несколько часов.

    Именно поэтому пароли, которые использовались для регистрации на сайтах или шифрования каких-нибудь важных данных несколько лет назад, рекомендуется время от времени менять, делая их более сложными и устойчивыми к взлому методами перебора.

     

    Как определяется сложность пароля?

    Сложность парольной фразы определяется информационной энтропией, которая измеряется в битах. Чем бит энтропии содержит пароль, тем сложнее его взломать. К примеру, созданный вновь пароль имеет битность в 20 единиц. Чтобы взломать его методом перебора символов, потребуется перебрать 220 или 1048576 вариантов. Однако с довольно высокой вероятностью взлом может быть осуществлен раза в два быстрее – все зависит от того, с какой позиции начался перебор.

    Есть специальный алгоритм оценки энтропии и, как следствие, сложности пароля (в данном случае алгоритм оценки энтропии применяется для паролей, состоящих исключительно из чисел и/или строчных букв английского алфавита):

    • Первый символ парольной фразы имеет энтропию в 4 бита.
    • Следующие 7 символов добавляют еще 14 бит энтропии (по 2 бита на каждый символ), т.е. 8-значный пароль имеет 18-битную энтропию (4 бита первого символа плюс 14 бит последующих 7 символов).
    • Следующие 12 символов (от 9-го до 20-го) увеличивают общую битность энтропии еще на 18 бит (по 1,5 бит за каждый символ). Исходя их этого, 20-значный пароль имеет общую сумму энтропий всех символов, которая составит 32 бита.
    • Дальнейшие символы (21-й и далее) увеличивают энтропию на 1 бит. Так, 25-значный пароль будет иметь 37-битную энтропию, и для его отгадывания путем перебора придется сделать 137 млрд. 438 млн. 953 тыс. 472 попытки.

    Увеличить сложность пароля (для этого конкретного случая) можно за счет использования в нем неалфавитных символов (спецсимволов, которые можно напечатать на обычной клавиатуре) и букв в верхнем регистре (заглавных букв). В этом случае энтропия дополнительно вырастит на 6 бит.

    Таким образом, сложность пароля определяется количеством и типом символов, из которых он состоит.

     

    Зачем мне сложный пароль, если на сервере предусмотрена защита от взлома?

    Практически все современные веб-системы оснащены системой защиты, автоматически блокирующей аккаунты при нескольких (обычно 3-5) неудачных попытках авторизации подряд. Это означает, что такие методы взлома, как брутфорс и атака по словарю/радужным таблицам, малоэффективны. Сервер, на который осуществляется атака, просто заблокирует учетную запись, и все последующие попытки авторизации будут проигнорированы системой.

    Это говорит о том, что взлома даже относительно слабых (с низким уровнем энтропии) паролей будет весьма затруднителен. Если, конечно, атакующий не подберет парольную фразу за то немногое количество попыток, которое разрешено конкретным сервером.

    Однако это не повод пренебрегать рекомендациями по созданию сложных паролей с высокой энтропией. Киберпреступники, к примеру, могут завладеть какими-либо данными, хранящимися на сервере в зашифрованном виде. Для их расшифровки потребуется цифровой ключ, созданный на основе заданного пользователем пароля при регистрации в той или иной веб-системе. И в этом случае количество попыток подбора пароля уже не будет ничем и никем ограничено – злоумышленнику просто останется дождаться, пока его брутфорс-программа закончит свою работу по взлому похищенной зашифрованной информации.

    Поэтому никогда не стоит надеяться на присутствующую на том или ином сайте систему защиты от брутфорса и атаки по словарям. Всегда лучше перестраховаться, создав такой пароль, который не удастся взломать за короткое время даже при использовании мощной вычислительной техники.

     

    Каким должен быть пароль, устойчивый к взлому?

    Существуют общие рекомендации по созданию устойчивых к брутфорсу паролей. Конечно, со временем они будут пополняться все новыми и новыми пунктами – ведь, как мы уже выяснили, считавшийся очень надежным пароль вчера уже завтра может потерять этот свой статус. Но на ближайшие несколько лет будут оставаться актуальными нижеследующие рекомендации по созданию сложных парольных фраз:

    • Количество символов в пароле – 8 или более (желательно вообще от 12). Чем длиннее – тем лучше.
    • Включайте в пароль буквы в верхнем и нижнем регистре (т.е. строчные и заглавные) и цифры.
    • При возможности (если того не запрещает система, в которой выполняется регистрация) включайте в пароль спецсимволы (вроде знака процента, символ доллара, амперсанд и т.п.) и/или буквы из неанглийских алфавитов (русские буквы – отличный вариант).

    Эти рекомендации, впрочем, могут считаться соблюденными и в случае таких паролей, как, например: «1/8/2000Qwerty». Вроде бы все в пароле присутствует и большие/маленькие буквы, числа и спецсимволы (в данном случае слеши «/»). И состоит он из 14 знаков. Однако на счет надежности подобных парольных фраз можно поспорить. Все дело в том, что даже соответствующие всем правилам создания парольные фразы могут оказаться неустойчивыми ко второму способу взлома – перебору по словарю/радужным таблицам.

    К счастью, жизнь хакерам можно сильно усложнить, создав пароль, соответствующий следующим рекомендациям:

    • Не используйте в парольных фразах общеизвестные (словарные) слова – такие быстро взламываются методом атаки по словарю. Также следует избегать использования имен, кличек животных, географических названий – в общем, любых слов, о существовании которых известно очень широко.
    • Даже при комбинировании словарных слов с любыми числами не сделает пароль устойчивым к взлому. Не поможет и замена букв символами, схожими с написанием с заменяемыми буквами. Речь идет о таких паролях, как, например, «[email protected]@t0r». В распоряжении киберпреступников, однозначно, имеются словари и/или радужные таблицы, содержащие подобные написания обычных слов (даже если словарей нет, их несложно сгенерировать путем замены букв).
      • Однако использовать словарные слова в целях запоминания пароля можно, но их должно быть несколько написанных подряд, разделенных цифрами и/или спецсимволами. Конечно же, не забываем про буквы в верхнем регистре. Замена букв похожими на них символами тоже возможна (при соблюдении остальных рекомендаций). Вот, к примеру, сильный пароль: «1TrEe#Car#Sun#[email protected]»
    • Не используйте никакие последовательности букв, о которых можно легко догадаться. Сюда относится, например, чередование букв в алфавитном порядке («abcdefg» или в обратной последовательности) либо в порядке их расположения на клавиатуре – «uytrewq», «zxcvbnm».
      • Если все-таки последовательности нужно использовать для лучшего запоминания пароля, тогда их можно, к примеру, разбавить цифрами и/и спецсимволами: «#aS12dF13gh24jK15l#».
    • Не используйте широко известные наборы цифр, даже если они комбинируются со спецсимволами и/или буквами: номера телефонов, серийные номера документов, регистрационные номера автомобилей, даты и т.п. Пароль вроде «01/15/1985», «54-05-123456» или «A123AB197» легко подбирается при использовании соответствующих алгоритмов генерации словарей.
      • Если и нужно использовать наборы цифр, то просто следуем описанным выше рекомендациям. Также можно, к примеру, комбинировать наборы друг с другом, разделяя их какими-нибудь словами: «A123AB197mashina01/15/1985».

    И еще кое-что. Старайтесь использовать на разных сайтах разные пароли. В противном случае, если злоумышленнику удастся взломать какой-нибудь один сайт, полученный в ходе атаки пароль, он обязательно будет использовать в попытках зайти на другие сайты.

     

    Как создать сложный и запоминающийся пароль?

    Касательно запоминающихся паролей мы уже рассмотрели несколько способов их создания при использовании комбинаций слов, последовательностей символов и комбинацией наборов номеров. Но если и масса других вариантов по созданию запоминающихся и, главное, надежных парольных фраз.

    Вот лишь один пример:

    • Возьмите первые символы из нескольких слов какой-нибудь песни или стихотворения, которые вы помните наизусть. Если песня/стих на русском языке, просто используйте английское их написание (для букв вроде «Я» или «Ю» используем конструкцию «Ya»/«Yu» или «Ia» «Iu», как вам удобней).
    • Пусть это будут, например, строки «У Лукоморья дуб зеленый: Златая цепь на дубе том». Буквы для нашего пароля в данном случае следующие: uldzzcndt.
    • Переведите несколько букв в верхний регистр: «uLdzZcnDt». Чтобы запомнить, какие именно буквы были переведены в верхний регистр, придумайте для себя какую-нибудь схему: например, каждая четная/нечетная буква или первая, центральная и последняя буквы.
    • Вставьте в создаваемый пароль цифры, желательно где-нибудь посередине, например: «uLdz1990ZcnDt» (в данном случае мы вписали год 1990).
    • Если разрешено использование спецсимволов, вставляем и их (хотя бы один): «uLdz19*90ZcnDt» (разделили год символом «*»).
    • Если спецсимволы нельзя использовать, можно добавить в пароль еще цифр, например, в начале и/или в конце: «12uLdz1990ZcnDt34».

    Таким образом, мы создали устойчивый к взлому любыми методами пароль, который довольно легко запомнить и затем воспроизвести в любой момент.

     

    Как проверить надежность пароля?

    В интернете также можно найти множество сайтов, предоставляющих возможность проверки надежности любой введенной парольной фразы. Например, это можно сделать на сайте антивируса Касперского. Перейдите на эту страницу (https://password.kaspersky.com/ru/) и впишите/вставьте в текстовое поле «Проверьте свой пароль» проверяемую парольную фразу:

     

    Как узнать, был ли скомпрометирован пароль?

    Иногда даже самые сложные пароли могут оказаться ненадежными. Киберпреступники время от времени взламывают сайты и веб-системы, вследствие чего к ним в руки попадают огромные базы данных логинов и паролей зарегистрированных там пользователей. Похищенные данные обычно выставляют на продажу в темном сегменте интернета (даркнете), их может приобрести любой.

    Если вы проверяли свой пароль вышеуказанным способом на сайте Касперского, тогда вы заметили такое сообщение – «Ваш пароль не встречается в базах утекших паролей». Эти «утекшие базы» и есть те самые похищенные логины и пароли (не все, конечно, а только те, что попали в руки добросовестным людям). Если же вы увидите на этом сайте сообщение – «Этот пароль засветился в базах утекших паролей» – значит, введенная вами парольная фраза была ранее скомпрометирована, т.е. о ее существовании знаете не только вы.

     

    Подобные списки украденных логинов и паролей – находка для злоумышленников, использующих для взлома метод атаки по словарям. Поэтому перед тем, как зарегистрироваться где-нибудь в интернете, проверьте пароль – вдруг, он был скомпрометирован. Не мешает проделать то же самое и с уже используемыми парольными фразами.

     

    Где надежнее хранить пароли?

    Одно из правил кибербезопасности – не использовать один и тот же пароль в разных местах – потребует от пользователя где-то хранить создаваемые им сложные парольные фразы. Хранить их все в голове – под силу единицам. Пользователям без феноменальной памяти приходится использовать другие средства, и хранение паролей в обычном текстовом файле на компьютере – наверное, худший вариант.

    Не очень надежно их хранить и в браузере, используя соответствующую функцию. Причин этому несколько. Во-первых, чтобы «вытащить» логины и парольные фразы из браузера не нужно даже запускать сам веб-обозреватель, т.к. тот хранит эти данные в обычном незашифрованном файле (защитить файл шифрованием можно, но браузер не предлагает сам этого сделать, а пользователи и не догадываются, что такое вообще возможно). Во-вторых, если кто-то получит доступ к компьютеру, то он сможет войти на все сайты, логины и пароли от которых сохранены в браузере (и для этого не нужно быть хакером или даже знать, где веб-обозреватель хранит подобные данные).

    Еще один способ – хранение паролей в электронном документе, поддерживающем шифрование. К таким документам относятся, к примеру, PDF, DOCX (MS Word) или XLSX (MS Excel).

    И всегда можно воспользоваться функцией шифрования файлов, присутствующей в арсенале любых программ-архиваторов. С их помощью любой файл – даже простой текстовый документ – можно защитить собственным паролем.

    Оба последних способа, несомненно, надежны (если для шифрования использовать сильный пароль), но довольно неудобны.

    И последний способ – использование специализированных программ для хранения паролей. Таких приложений сегодня много. К их числу относятся не только программы для Windows (или других ОС), но и мобильные приложения и расширения к браузерам.

    Возьмем, к примеру, менеджер паролей MultiPassword. У него есть 3 самостоятельные версии: десктопная (т.е. для Windows), мобильная (Android и iOS) и браузерная. Так выглядит основная вкладка программы MultiPassword для Windows, в которой можно ознакомиться с количеством сохраненных паролей с той или иной степенью надежности:

     

    Использовать программу довольно просто. Чтобы добавить пароль в базу, нужно кликнуть по кнопке «Новая запись»:

     

    Обратите внимание, что при вводе сохраняемого пароля программа MultiPassword автоматически определяет его сложность. А если кликнуть по кнопке с изображением игральных костей, на экране отобразится генератор паролей:

     

    Те, кто привык пользоваться стандартной браузерной функцией автоматического сохранения логинов/паролей и заполнения ими веб-форм на сайтах, могут установить расширение MultiPassword (доступно для скачивания из официальных магазинов браузеров).

    В программу MultiPassword можно импортировать пароли из других подобных программ либо браузеров (предварительно нужно выполнить экспорт паролей из этих программ и/или веб-обозревателей).


    Часто задаваемые вопросы об учетных данных EFAST2 | Министерство труда США

    Министерство труда США
    Администрация по обеспечению безопасности пособий сотрудникам

    Версия для печати

    Q1: Кому нужно зарегистрироваться, чтобы использовать EFAST2?

    • Любой, кто хочет заполнить форму 5500, форму 5500-SF или форму 5500-EZ и / или расписания с помощью IFILE, должен зарегистрироваться для получения полномочий автора. При регистрации проверьте тип пользователя «Автор заявки» и / или «Автор расписания».
    • Любой, кому необходимо зарегистрироваться в качестве поставщика объединенного плана, должен заполнить форму PR, используя IFILE.При регистрации проверьте типы пользователей «Автор архива» и «Лицо, подписывающее файл».
    • Все спонсоры плана, администраторы плана, лица, подписывающие DFE, и поставщики услуг плана, которые имеют письменное разрешение на подачу файлов от имени администратора плана в соответствии с опцией электронной подписи EFAST2, должны зарегистрироваться для получения учетных данных для подписи документов. При регистрации проверьте тип пользователя «Filing Signer». Если человек подписывает регистрацию в качестве администратора плана или спонсора плана, ему необходимо зарегистрироваться только один раз.
    • Всем, кто желает передать заполненные документы через стороннее программное обеспечение, возможно, потребуется зарегистрироваться для получения учетных данных и проверить тип пользователя «Передатчик». Обратитесь к стороннему поставщику программного обеспечения, чтобы определить, необходимо ли это.

    Зарегистрированным актуариям и бухгалтерам не нужно регистрироваться в качестве лица, подписывающего подачу документов, чтобы вручную подписать График SB, График MB или мнение бухгалтера и аудиторский отчет, поданные с помощью Формы 5500, Формы 5500-SF или 5500-EZ. Регистрация в качестве лица, подписывающего подачу документов, требуется для лиц, которые будут подписывать документы, отправленные в EFAST2, с помощью электронной подписи.При регистрации вам будут выданы следующие учетные данные:

    • Идентификатор пользователя (используется для вашей идентификации)
    • PIN (используется в качестве электронной подписи)
    • Пароль (позволяет получить доступ к авторизованным приложениям веб-сайта EFAST2, таким как IFILE)

    Хотя вы предоставляете информацию о занятости при регистрации, учетные данные являются личными и не связаны с компанией или планом.

    Доступ к той части веб-сайта EFAST2, которая обеспечивает публичное раскрытие и справочную информацию, не требует регистрации.

    Q2: Как мне зарегистрироваться для получения учетных данных EFAST2?

    Регистрация выполняется на веб-сайте EFAST2, выберите «Зарегистрироваться» на экране приветствия. Вы можете получить учетные данные EFAST2, выполнив семь простых шагов. Весь процесс займет всего несколько минут.

    1. Прочтите и примите заявление о конфиденциальности.
    2. На следующем экране введите контактную информацию (имя, адрес, телефон, название компании и т. Д.) И выберите один или несколько из пяти типов пользователей. Например, кто-то, кто готовит, подписывает и подает заявку через IFILE, выберет автора и подписывающего лица.
    3. Выберите один из двух контрольных (или контрольных) вопросов и дайте ответ. Контрольный вопрос и ответ используются в случае, если вы забыли свой пароль.
    4. Убедившись, что введенная вами информация верна, вы увидите экран подтверждения регистрации, сообщающий вам, что завершение вашей регистрации будет отложено до тех пор, пока вы не получите электронное письмо с уведомлением об учетных данных с дальнейшими инструкциями. EFAST2 генерирует и отправляет электронное письмо с уведомлением об учетных данных в течение пяти минут.
    5. После того, как вы получите электронное письмо с уведомлением об учетных данных, выберите ссылку в электронном письме, по которой вы попадете на защищенный веб-сайт EFAST2, где вам будет предложено ответить на ваш контрольный (или контрольный) вопрос.
    6. Вам будет предложено принять Соглашение о PIN-коде, в котором описывается безопасность вашего PIN-кода и что делать, если ваш PIN-код утерян или украден. Вам также будет предложено принять Соглашение о подписании, если вы будете подписывать документы.
    7. Вам будет предложено создать пароль., &, *, (,)]. Использование других специальных символов запрещено. Ваш новый пароль должен отличаться от ваших последних 12 предыдущих паролей. Это поле чувствительно к регистру и должно быть повторно установлено через 90 дней.

    После того, как вы получите идентификатор пользователя, PIN-код и пароль, ваша регистрация в EFAST2 будет завершена.

    Q3: Сколько времени нужно, чтобы получить электронное письмо с уведомлением об учетных данных?

    В течение пяти минут после отправки и принятия регистрационной формы EFAST2 должен сгенерировать учетные данные.После создания учетных данных EFAST2 отправляет уведомление на адрес электронной почты, указанный при регистрации. В этом уведомлении по электронной почте вы найдете ссылку на защищенный веб-сайт, а также инструкции о том, как получить и активировать учетные данные.

    Q4: Я не получил регистрацию по электронной почте. Что я должен делать?

    Если вы не получили электронное письмо с уведомлением об учетных данных в своем почтовом ящике в течение примерно пяти минут, оно могло быть заблокировано как спам или нежелательная почта. Проверьте папки со спамом или нежелательной почтой, чтобы узнать, получили ли вы письмо.

    Некоторые поставщики услуг электронной почты требуют, чтобы вы добавляли адрес электронной почты в свою адресную книгу, прежде чем вы сможете получать сообщения с этого адреса. Чтобы наши сообщения могли быть доставлены в ваш почтовый ящик, введите в свою адресную книгу наш исходный адрес электронной почты, [email protected], и наш адрес электронной почты для «ответа на», [email protected]

    Если вы проверили папки со спамом или нежелательной почтой и письмо не было получено, вы можете завершить последние шаги регистрации, используя «Забыли идентификатор пользователя» на странице входа.После выбора «Забыли идентификатор пользователя» введите адрес электронной почты, который вы ввели при регистрации. Если вы не завершили процесс регистрации, вы увидите на экране вариант Завершить регистрацию. Следуйте инструкциям на остальных экранах, чтобы завершить регистрацию.

    Q5: Моя учетная запись заблокирована. Что я должен делать?

    Для сброса заблокированной учетной записи на веб-сайте EFAST2 выберите «Вход» на экране приветствия, затем выберите «Забыли пароль». Вам будет предложено ввести свой идентификатор пользователя или адрес электронной почты.После того, как вы введете свой идентификатор пользователя или адрес электронной почты, вам будет предложено ответить на контрольный вопрос.

    У вас будет три попытки правильно ответить на ваш вопрос, прежде чем ваша учетная запись будет временно аннулирована на срок до 30 минут. По истечении отведенного времени вы можете попытаться ответить на контрольный вопрос еще раз. Если вы не хотите ждать отведенное время, пока вы не сможете снова попытаться ответить на контрольный вопрос, или вы забыли ответ на контрольный вопрос, вы можете позвонить в службу поддержки EFAST2 по телефону 1-866-GO-EFAST (1-866- 463-3278) за помощь в окончательном аннулировании вашей учетной записи и регистрации новой учетной записи.Если вы повторно достигнете лимита недействительных ответов на запросы, ваша учетная запись будет аннулирована без возможности восстановления. Если это произойдет, вам нужно будет позвонить в службу поддержки EFAST2 или зарегистрироваться снова.

    Q6: Я не помню свой идентификатор пользователя. Как мне его получить?

    На веб-сайте EFAST2 выберите «Войти» на экране приветствия. Затем выберите «Забыли идентификатор пользователя» и введите адрес электронной почты, который вы указали при регистрации. Вам нужно будет ответить на контрольный вопрос, чтобы просмотреть свой идентификатор пользователя.

    Если вы не полностью завершили процесс регистрации, после ответа на контрольный вопрос вы увидите вариант «Завершить регистрацию».

    Q7: Я не помню свой пароль. Как мне его получить?

    Если вы забыли свой пароль или если он заблокирован, на веб-сайте EFAST2 выберите «Вход» на экране приветствия, затем выберите «Забыли пароль» на странице входа. Чтобы использовать опцию «Забыли пароль», вы должны ввести действующий идентификатор пользователя или зарегистрированный адрес электронной почты.Вам также будет предложено ввести ответ на контрольный вопрос. Если все будет сделано успешно, вам будет разрешено создать новый пароль.

    Q8: Я не помню свой PIN-код. Как мне его получить?

    После успешного входа на веб-сайт EFAST2 вы можете просмотреть свой PIN-код EFAST2 и другую регистрационную информацию, выбрав «Профиль пользователя». На странице профиля пользователя отобразятся ваши учетные данные и предложены варианты для изменения профиля, изменения пароля и изменения PIN-кода.

    Q9: В чем разница между PIN-кодом, паролем и ETIN?

    ПИН-код EFAST2 — это четырехзначное число, присваиваемое зарегистрированному пользователю.Его можно изменить, используя «Изменить PIN-код» на странице профиля пользователя. В сочетании с присвоенным идентификатором пользователя PIN-код используется для обеспечения электронной подписи в форме 5500, форме 5500-SF, форме 5500-EZ или форме PR.

    Пароль EFAST2 состоит как минимум из восьми символов и создается зарегистрированным пользователем EFAST2. Его можно изменить с помощью функции «Я забыл пароль» на странице входа или с помощью команды «Изменить пароль» на странице профиля пользователя. Вместе с назначенным идентификатором пользователя пароль используется для входа на веб-сайт EFAST.

    EFAST2 ETIN — это электронный идентификационный номер передатчика. ETIN, наряду с PIN-кодом, требуется составителям для подачи документов или пакетов документов от имени других лиц с использованием одобренного EFAST2 стороннего программного обеспечения. Авторы подачи и лица, подписывающие регистрацию, не используют и не нуждаются в ETIN.

    Q10: Как я могу изменить адрес, адрес электронной почты или типы пользователей, которые я ввел при первоначальной регистрации?

    Если вам нужно изменить информацию своего профиля, включая типы, связанные с вашим идентификатором пользователя, сначала войдите на веб-сайт EFAST2.Выберите Профиль пользователя, затем на открывшейся странице профиля пользователя выберите «Изменить профиль». Не забудьте сохранить изменения, когда закончите.

    Система EFAST2 не позволяет изменять ответ на контрольный вопрос (место рождения или дата рождения). Кроме того, сам идентификатор пользователя EFAST2 — это уникальный идентификатор, созданный системой, который нельзя изменить для установленной учетной записи.

    Q11: Я не распечатал страницу регистрации, на которой был указан мой PIN-код. Как я теперь могу увидеть свой PIN-код?

    Вы можете просмотреть свой PIN-код EFAST2 в любое время.После успешного входа в систему выберите «Профиль пользователя», чтобы просмотреть свой PIN-код в верхней части экрана.

    Q12: Я не уверен, что я уже зарегистрировался. Как я могу проверить?

    Есть несколько способов проверить, успешно ли вы зарегистрировались в EFAST2.

    Если вы не уверены, что успешно завершили процесс регистрации, выберите «Забыли идентификатор пользователя» или «Забыли пароль» на странице входа и введите адрес электронной почты, который, по вашему мнению, вы ввели во время регистрации.

    • Если вы зарегистрировали этот адрес электронной почты, вам будет предложено ввести ответ на связанный контрольный вопрос.
    • Если вы не зарегистрировали этот адрес электронной почты, вы увидите сообщение об ошибке, указывающее, что этот адрес электронной почты не совпадает с зарегистрированным.
    • Если вы начали регистрировать этот адрес электронной почты, но еще не завершили процесс регистрации, вы увидите на экране вариант Завершить регистрацию. Следуйте инструкциям на остальных экранах, чтобы завершить регистрацию.

    Вы также можете попытаться завершить процесс регистрации, выбрав «Зарегистрироваться». После ввода необходимой информации, включая адрес электронной почты, нажмите Далее. Если введенный вами адрес электронной почты уже связан с учетной записью EFAST2, вы получите сообщение о том, что указанный адрес электронной почты уже используется.

    Q13: Я работаю в нескольких компаниях, но поле «Название компании» не позволяет мне вводить оба названия компании, и я не могу зарегистрироваться для другого UserID, используя тот же адрес электронной почты.Как я могу зарегистрироваться для всех моих компаний / планов?

    Процесс регистрации EFAST2 не позволяет добавлять несколько компаний в профиль, и в этом нет необходимости. Хотя вы предоставляете информацию о занятости при регистрации, учетные данные являются личными и не связаны с компанией или планом. Учетные данные EFAST2 могут использоваться для идентификации регистранта в течение нескольких лет и при нескольких подачах. Регистрация EFAST2 позволяет использовать только один активный идентификатор пользователя для каждой действующей учетной записи электронной почты.Каждому человеку нужна только одна активная регистрация.

    Q14: Что такое типы пользователей и что мне выбрать?

    С каждым типом пользователей связаны определенные задачи по регистрации. Если регистрант будет выполнять задачи по регистрации, связанные с более чем одним типом пользователей, он или она может выбрать несколько типов пользователей.

    Автор заявки: Автор заявки может заполнить форму 5500/5500-SF / 5500-EZ (включая прилагаемые таблицы и приложения) или форму PR, подать заявку и проверить ее статус.Авторы подачи не могут подписывать заявки, если они не имеют также роли «подписывающего лица». Если вы используете одобренное EFAST2 стороннее программное обеспечение для составления своей документации, а не IFILE для заполнения годового отчета / отчета по форме 5500, вам не нужно устанавливать этот флажок.

    Лицо, подписывающее файл: Подписывающее лицо — это администраторы плана, работодатели / спонсоры плана или лица, непосредственно подающие документы, которые подписывают форму 5500/5500-SF или форму PR. Эту роль также должны выбирать поставщики услуг плана, у которых есть письменное разрешение на подачу файлов от имени администратора плана с помощью опции электронной подписи EFAST2.Никакие другие функции, связанные с хранением данных, не могут быть выполнены путем выбора только этой роли пользователя.

    Составитель расписания: Автор расписания может заполнить одно или несколько расписаний, прилагаемых к форме 5500/5500-SF / 5500-EZ. Расписания, созданные автором расписания, не связаны с регистрацией. Чтобы расписание, созданное автором расписания, можно было использовать при регистрации, его необходимо экспортировать. Затем этот экспортированный файл будет импортирован автором архива в соответствующий архив. Авторы расписания не могут инициировать, подписывать или подавать заявки.Если автор заявки использует для создания вашей заявки стороннее программное обеспечение, одобренное EFAST2, а не IFILE, вам не нужно устанавливать этот флажок.

    Передатчик: Передатчики могут передавать данные формы 5500/5500-SF / 5500-EZ в систему EFAST2 для обработки от имени других лиц. Передатчики несут ответственность за безопасность всей хранящейся информации до и во время ее передачи. Передатчиком может быть компания, торговое предприятие, предприятие или физическое лицо.

    Сторонний разработчик программного обеспечения: Сторонние разработчики программного обеспечения создают программное обеспечение для подготовки или передачи форм серии 5500.С помощью своего программного обеспечения они отправляют тестовые примеры в систему приемочного тестирования участников EFAST2 (PATS). Затем группа сертификации PATS рассмотрит их заявки и предоставит отзывы или утвердит и сертифицирует программное обеспечение. Сторонним разработчиком программного обеспечения может быть компания, торговое предприятие, предприятие или физическое лицо. Заполнение только формы 5500/5500-SF / 5500-EZ может быть выполнено с приложением стороннего разработчика программного обеспечения, форма PR должна быть заполнена с использованием IFILE.

    Q15: Нужно ли мне регистрироваться каждый год?

    Нет, регистрироваться нужно только один раз.Однако срок действия учетных данных, которые никогда не использовались в течение трех календарных лет подряд, истечет.

    Q16: Где я могу найти дополнительную информацию об учетных данных EFAST2?

    Веб-сайт EFAST2 содержит ссылки на часто задаваемые вопросы, руководства пользователя и инструкции.

    9-6.1 Пароли

    9-6.1 Пароли

    Пароли — это уникальные строки символов, которые сотрудники или информационные ресурсы предоставляют вместе с идентификатором входа в систему для получения доступа к информационному ресурсу.Пароли, которые являются первой линией защиты информационных ресурсов Почтовой службы, должны рассматриваться как конфиденциальная информация и не должны разглашаться.

    9-6.1.1 Требования к выбору пароля

    Требования к паролю должны соответствовать следующему:

    Внутренние пользователи приложения (сотрудники) — Требования к паролю должны соответствовать следующему:

    1. Для всех пользователей пароли для всех платформ, кроме мобильных устройств, должны состоять как минимум из 15 символов и содержать как минимум один символ из трех из четырех следующих типов символов: английские прописные буквы (A – Z), английские строчные буквы (a –Z), вестернизированные арабские цифры (0–9) и не буквенно-цифровые символы (i.д., специальные символы, такие как &, # и $).
    2. Требования к паролю, связанные с мобильными устройствами, будут основаны на возможностях оборудования и программного обеспечения, и их можно найти в соответствующих документах политики / процедур.
    3. Единственными не буквенно-цифровыми символами, доступными для мэйнфрейма, являются: @, # и $.
    4. Для всех пользователей пароли не должны содержать имени пользователя или какой-либо части его полного имени.
    5. Пароли не должны повторяться (повторно использоваться) в течение как минимум пяти поколений.

    Пользователи внешних приложений (клиенты; www.usps.com , Business Customer Gateway и связанные приложения) — Требования к паролю должны соответствовать следующему:

    1. Пароли должны состоять как минимум из 8 символов и содержать как минимум один символ верхнего регистра (A-Z), один символ нижнего регистра (a-z) и одну цифру (0-9). Разрешены специальные символы, но они ограничены следующими: — (). & @? ’, /” +!).
    2. Пароль не должен содержать более 2 последовательных повторяющихся символов.
    3. Пароли не могут совпадать с именем пользователя.
    9-6.1.2 Рекомендации по выбору пароля

    Следующие ниже рекомендации по паролям представляют собой разумные меры безопасности, направленные на повышение сложности пароля и защиту пароля от попыток взлома пароля:

    1. Не используйте имена членов семьи или другую легко узнаваемую информацию о пользователе (например,g., номерной знак автомобиля, номер телефона, дату рождения и название улицы).
    2. Не используйте часто используемые слова, такие как слова, которые встречаются в словаре или терминологии Почтовой службы.
    3. Не используйте одни и те же символы или цифры или другие часто используемые или легко угадываемые форматы.
    4. По возможности используйте более длинные пароли (например, парольные фразы и повторяющиеся многословные строки).
    5. Не используйте одни и те же символы или цифры или другие широко используемые или легко угадываемые форматы, например: a1a1a1a1 или 123d123d.
    6. Чтобы запомнить свои пароли и сделать их более надежными, вместо того, чтобы думать о парольных «словах», думайте о «фразах», где ваш пароль — это короткая фраза, разделенная специальными символами или цифрами. Примеры: Kick_the_can1; 4Jump-the-shark4; и Ocean5Sunset.
    7. Используйте лучшие отраслевые практики (такие как банковское дело, FICAM) для определения допустимых паролей.
    9-6.1.3 Начальный пароль

    Внутренние пользователи (рабочая сила) — Пароли всегда должны доставляться безопасным способом.Первоначальный пароль для пользователей должен быть отправлен через защищенную систему электронной доставки или личную доставку пользователю (также допускается почта первого класса). Для всех учетных записей в качестве начального пароля должен быть установлен временный пароль, и пользователь должен изменить пароль при входе в систему.

    Примечание. Следует проявлять осторожность, чтобы не использовать стандартные, общие или глобальные пароли при создании новых учетных записей или при сбросе забытых паролей.

    9-6.1.4 Блокировка пароля

    Внутренние пользователи (рабочая сила) — После шести неудачных попыток входа в информационный ресурс идентификатор входа или учетная запись должны быть отключены на период не менее 5 минут для внутренних систем, доступ к которым осуществляется через устройства ACE и без ACE. , (или 30 минут для приложений, связанных с PCI, или до тех пор, пока системный администратор не сбросит учетную запись).

    Внешние пользователи (клиенты) — Для внешних страниц входа:

    1. После 5 безуспешных попыток входа на страницу входа, управляемую клиентом, пользователю необходимо подождать 1 минуту, пока он не сможет повторить попытку входа.
    2. При 3 дополнительных неудачных попытках пользователю будет предложено подождать 5 дополнительных минут.
    3. При 2 дополнительных неудачных попытках входа в систему (всего 10) пользователю будет предложено подождать 15 минут до следующей попытки.
    4. При 1 дополнительной неудачной попытке входа в систему (№11) пользователю будет предложено подождать 30 минут.
    5. При 12-й неудачной попытке входа в систему пользователю потребуется подождать 1 час; при 13-й неудачной попытке входа в систему пользователю придется подождать 24 часа, пока он сможет снова войти в систему.
    6. Для всех других страниц входа в систему, связанных с клиентом, после 4 неудачных попыток входа пользователь не сможет войти в систему снова в течение 24 часов.
    7. В обоих случаях (страница входа в систему, принадлежащая клиенту, и страница входа в систему, связанную с клиентом), клиенты также могут использовать процесс «Я забыл свой пароль» для доступа к своей учетной записи.

    9-6.1.5 Сброс паролей

    Внутренние пользователи (рабочая сила) — Пользователи с непривилегированными учетными записями, которые забыли свои пароли или нуждаются в обычном сбросе пароля, должны сбросить свой пароль, вызвав функцию сброса пароля ePassword. Исключением из использования системы сброса ePassword является использование привилегированных учетных записей, учетных записей компьютеров и поставщиков по умолчанию (см. Ниже). Система сброса пароля ePassword требует аутентификации пользователя перед тем, как позволить пользователю выполнить сброс пароля.Если пользователь звонит в службу поддержки, чтобы сбросить пароль, персонал службы поддержки просит пользователей предоставить дополнительное подтверждение личности до сброса пароля. Запросы на изменение пароля через службу поддержки документируются через тикет запроса на изменение. Пароль сбрасывается на временный пароль административной группой, и пользователь должен затем изменить пароль при первом входе в систему.

    ePassword Reset не используется для привилегированных учетных записей, учетных записей компьютеров и поставщиков по умолчанию. Пароли к этим учетным записям меняются группой системного администратора через службу поддержки.Когда пользователи этих учетных записей запрашивают сброс пароля, сотрудники службы поддержки просят пользователей предоставить дополнительное подтверждение их личности (например, некоторый заранее определенный общий секрет, который будет знать только пользователь) перед сбросом пароля. После подтверждения личности пользователя запрос документируется через тикет запроса на изменение и назначается соответствующей группе администраторов для сброса пароля. Для привилегированных учетных записей группа администраторов сбрасывает временный пароль, а затем привилегированный пользователь должен изменить пароль при первом входе в систему.

    Внешние пользователи (клиенты) — Для внешних пользователей пароли могут быть сброшены следующим образом:

    1. Звонок в справочную. Персонал службы поддержки просит пользователей, звонящих в службу поддержки, предоставить дополнительное подтверждение их личности до сброса пароля. После подтверждения личности пользователя запрос документируется в приложении внешних пользователей. Временный пароль может быть отправлен сотрудниками службы поддержки по электронной почте конечному пользователю. После получения пользователь может ввести свое имя пользователя и временный пароль.Затем пользователям необходимо будет ввести пароль в приложение внешних пользователей для завершения входа в систему.
    2. Я забыл пароль в процессе самообслуживания. Внешние клиенты могут сбросить свои пароли, введя ответы на свои секретные вопросы на странице внешних пользователей. В случае успеха пользователю будет предложено ввести новый пароль для завершения входа в систему.
    3. Восстановление СМС Аккаунта. Клиенты, которые зарегистрировались для восстановления учетной записи с помощью SMS-кодов, могут ввести код, полученный в проверочном тексте или по электронной почте на веб-странице.
    9-6.1.6 Срок действия пароля

    Внутренние пользователи (рабочая сила) — информационный ресурс должен предлагать функцию устаревания аутентификационной информации, которая требует от пользователей периодического изменения аутентификационной информации, такой как пароли. Весь персонал почтовой службы должен изменить свои пароли по запросу системы, в противном случае он рискует быть заблокированным, что потребует помощи для сброса учетной записи. Требования к сроку действия пароля следующие:

    1. До истечения срока действия аутентификационной информации, такой как пароли, информационный ресурс предоставляет пользователю уведомление.
    2. Не реже, чем каждые 30 дней, пароли для привилегированных учетных записей или для тех учетных записей, которые считаются конфиденциальными (например, системные супервизоры, специалисты по программному обеспечению, системные администраторы, администраторы баз данных [DBA, SYSDBA, SYSOPER, INSERT ANY TABLE, UPDATE ANY TABLE, DELETE ANY TABLE] , или предоставляется поставщиком) необходимо изменить.
    3. Не реже одного раза в 90 дней пароли для всех остальных учетных записей должны обновляться и изменяться.

    Учетные записи схемы базы данных Oracle назначаются базе данных (а не отдельному лицу) и обычно считаются владельцем приложения.Эти учетные записи имеют минимальные права доступа и привилегии, необходимые для выполнения необходимых бизнес-функций в отношении приложения. Учетные записи схемы базы данных Oracle очень похожи на учетные записи служб, поскольку им не предоставляются привилегии root или администратора и они находятся под контролем управления [Системы и службы баз данных (DBSS) — это субъект почтовой службы, ответственный за жизненный цикл учетной записи с момента создания, развертывания и использования , и выход на пенсию, когда он больше не нужен]. DBSS отвечает за обслуживание паролей для всех учетных записей схемы базы данных Oracle.DBSS должен принять следующие меры для защиты пароля:

    1. Пароль не предоставляется никому за пределами DBSS.
    2. Если пароль хранится в базе данных, он зашифрован.
    3. Если пароль хранится в файле, файл защищен.
    4. Если скрипты необходимо запускать от имени учетной записи схемы, персонал DBSS вводит пароль.
    5. Пароль для учетных записей схемы должен соответствовать функции надежности пароля, которая обеспечивает длину пароля не менее 15 символов.Это необходимо, поскольку срок действия пароля учетной записи схемы не истекает, поэтому для его защиты принимаются дополнительные меры.
    6. DBSS
    7. осуществляет мониторинг всех баз данных для использования этой учетной записи и записывает всю подозрительную активность.

    Внешние пользователи (клиенты) — Внешние клиенты не обязаны периодически менять свои пароли.

    9-6.1.7 Запросы на использование учетных записей с неиспользуемым паролем

    Все запросы на использование учетных записей с неиспользуемым паролем должны быть одобрены менеджером, CISO.Менеджер по информационной безопасности должен быть добавлен как FSC для всех учетных записей компьютеров. Эти учетные записи отслеживаются в целях соблюдения требований. Исполнительный спонсор несет ответственность за использование этих учетных записей. В случае получения разрешения должны быть реализованы следующие компенсирующие меры:

    1. Учетная запись должна находиться в централизованно управляемой базе данных. Не разрешен привилегированный доступ.
    2. Зашифруйте вызов LDAP, чтобы пароль не передавался по сети в виде открытого текста.
    3. Смена пароля при уходе или переводе персонала с доступом к аккаунту.
    4. Неиспользуемые пароли учетных записей должны быть запрошены и задокументированы через eAccess / ARIS.
    5. Право собственности на учетные записи с паролями, срок действия которых не истекает, необходимо определять и повторно подтверждать каждые полгода.
    6. Права и привилегии учетных записей с неиспользуемым паролем должны проверяться не реже одного раза в полгода для оценки целесообразности доступа.
    7. Пароли для учетных записей с неиспользуемым паролем должны использовать сложный пароль, превышающий требования стандартной длины.
    8. Источник — ограничить учетную запись конкретным хостом и запретить консольный или удаленный доступ.
    9. Разрешить доступ к паролю только обслуживающему персоналу.
    9-6.1.8 Запросы на использование неиспользуемых учетных записей служб

    Все запросы на использование неиспользуемых учетных записей службы паролей должны подаваться в письменной форме (допускается электронная почта) исполнительным спонсором руководителю, CISO. Эти учетные записи используются для предотвращения перебоев в обслуживании из-за заблокированной учетной записи.Эти учетные записи необходимо отслеживать в целях соблюдения требований. Исполнительный спонсор будет нести ответственность за выполнение этих счетов. В случае получения разрешения должны быть реализованы следующие компенсирующие меры:

    1. Учетная запись должна быть запрошена и задокументирована в eAccess / ARIS.
    2. Не разрешен привилегированный доступ; определенные ACL должны применяться в соответствии с концепцией «минимальных привилегий». Использование root, привилегий системного администрирования, non-cancel и др. Запрещено.
    3. Учетная запись
    4. не должна иметь прав на изменение или удаление файлов системы (например, системного журнала или системного события Windows) или файлов журнала безопасности.
    5. Ограничить использование учетной записи определенным хостом.
    6. Прямой вход в учетную запись службы с консоли или удаленного сеанса запрещен и должен быть отключен.
    7. Права и привилегии учетной записи должны проверяться и подтверждаться каждые полгода.
    8. Неиспользуемый пароль должен соответствовать стандартам почтовой службы, включая длину и сложность пароля, а также быть зашифрованным при хранении и передаче.Единственными исключениями из критериев являются устаревание пароля и приостановка действия учетной записи при неудачных попытках входа в систему.
    9. Ограничьте доступ к паролю для оперативного персонала, чтобы знать и изменять, когда персонал с доступом увольняется или переводится. Выполняйте 6-6 «Уходящий персонал», чтобы полностью прекратить доступ при увольнении или переводе персонала.
    9-6.1.9 Защита паролем

    Пароли, используемые для подключения к информационным ресурсам Почтовой службы, должны рассматриваться как конфиденциальная информация и не разглашаться никому, кроме авторизованного пользователя, включая системных администраторов и сотрудников службы технической поддержки.Требования к защите паролей включают следующее:

    1. Запрещается использовать общие пароли, кроме тех, которые используются для общих учетных записей.
    2. Если пароли записаны и хранятся вне личного контроля пользователя, они должны быть защищены от несанкционированного доступа (например, конверт с печатью реестра, отметкой времени и подписью пользователя), чтобы гарантировать, что любое раскрытие или удаление письменный пароль легко узнаваем.
    3. Помимо первоначального назначения пароля и ситуаций сброса пароля, если есть основания полагать, что пароль был раскрыт кому-либо, кроме авторизованного пользователя, или был иным образом скомпрометирован, пользователь должен немедленно изменить пароль и уведомить CyberSafe.
    4. Пароли при передаче должны быть зашифрованы.
    9-6.1.10 Хранение паролей

    По возможности пароли должны храниться в формате с односторонним шифрованием. Могут быть случаи, когда бизнес-требования к системе не могут удовлетворить реализацию одностороннего шифрования, эти исключения должны быть идентифицированы и задокументированы как часть процесса сертификации и аккредитации. Пароли, хранящиеся в пакетных файлах, сценариях автоматического входа в систему, программных макросах, функциональных клавишах клавиатуры или компьютерах без систем контроля доступа, должны быть зашифрованы с использованием стандарта шифрования почтовой службы, описанного в
    9-7.1.1, Минимальные стандарты шифрования, и расшифровывается при использовании.

    Пароли для внешних пользователей не могут быть расшифрованы при использовании.

    9-6.1.11 Пароли поставщика по умолчанию

    Учетные записи по умолчанию, предоставляемые поставщиком, необходимо отключить, удалить или изменить пароли перед подключением системы или внедрением программного обеспечения в сеть почтовой службы. Сюда входят пароли, используемые подрядчиками или консультантами при настройке системы.

    9-6.1.12 Требования к паролю

    Внутренние пользователи (рабочая сила) — информационные ресурсы должны поддерживать следующие требования к паролю:

    1. Запретить доступ, если пользователь не соответствует критериям выбора пароля или срока действия.
    2. Установить временный пароль для начального пароля и потребовать от пользователя изменить временный пароль при первом входе в систему.
    3. Приостановить учетную запись после заданного администратором количества неудачных записей.
    4. Требовать повторной аутентификации пользователем, а также повторного подтверждения нового пароля во время попытки изменения пароля.
    5. Замаскируйте ввод пароля во время процесса аутентификации.
    6. Хранить пароли в одностороннем зашифрованном формате.
    7. Шифровать пароли при передаче.
    8. Требовать от пользователей смены паролей (срок действия пароля каждые 90 дней или при подозрении на взлом).
    9. Измените пароли по умолчанию, предоставленные поставщиком, перед использованием.

    Внешние пользователи (клиенты):

    Информационные ресурсы должны поддерживать следующие требования к паролю:

    1. Принимать пароли, созданные пользователем, которые соответствуют только критериям выбора пароля.
    2. Заблокировать учетную запись после количества неудачных записей, задаваемого администратором.
    3. Требовать повторного подтверждения нового пароля во время попытки изменения пароля.
    4. В процессе ввода пароля разрешите пользователю показывать одну букву / символ при вводе пароля и замаскируйте предыдущий ввод после ввода каждого последующего символа пароля.
    5. Хранить пароли в одностороннем зашифрованном формате.
    6. Шифровать пароли при передаче через HTTPS / POST.
    7. Не требовать от пользователей периодической смены паролей.
    8. Разрешить принудительное изменение паролей пользователей на основании утечки данных или известных мошеннических действий.

    Помощь при входе в систему

    Помощь при входе в систему

    Сожалеем, что у вас возникли проблемы. Найдите проблему со входом в систему в списке ниже и следуйте соответствующим инструкциям.

    • У вас нет идентификатора Keystone ID и пароля?
      Вы должны завершить процесс регистрации, чтобы получить Keystone ID и пароль.Регистрация на www.childsupport.state.pa.us — это простой процесс.
      • Вам будет предложено ввести идентификатор Keystone, пароль, SSN, идентификатор дела о поддержке детей и активный адрес электронной почты.
      • Укажите действующий адрес электронной почты для получения уведомлений о пароле и других важных предупреждений, связанных с вашей учетной записью. Затем вы выберете три вопроса-подсказки и ответы, которые мы будем использовать, чтобы помочь вам сбросить пароль.

      Наверх
    • Не уверены, что у меня есть идентификатор Keystone и пароль?
      • Есть и другие веб-сайты правительства штата Пенсильвания, которые используют Keystone ID.Возможно, вы уже зарегистрировали Keystone ID на одном из этих сайтов. В таком случае вы можете использовать свой существующий идентификатор и пароль для регистрации на веб-сайте поддержки детей.
      • Дополнительные сведения см. В разделах «Забыли идентификатор трапецеидального искажения» или «Забыли пароль».
      • Если у вас нет идентификатора Keystone ID или пароля, проверьте информацию в разделе «У вас нет идентификатора Keystone ID и пароля».

      Наверх
    • Забыли идентификатор ключа? — Я не помню свой Keystone ID?
      • Щелкните ссылку «Забыли Keystone ID» на странице входа, чтобы получить напоминание о вашем Keystone ID.
      • Вы должны указать свой зарегистрированный адрес электронной почты, имя и фамилию. Вы получите свой идентификатор Keystone ID по электронной почте после того, как мы проверим вашу информацию.
      • У вас есть Keystone ID с другого веб-сайта правительства штата Пенсильвания? Вы можете восстановить свой существующий идентификатор Keystone ID, перейдя по ссылке Забыли Keystone ID.

      Наверх
    • Забыли пароль? — Я не помню свой пароль?
      • Щелкните ссылку «Забыли пароль» на странице входа в систему, чтобы получить напоминание о своем пароле.
      • Вы должны предоставить свой Keystone ID. Если все правильно, вы ответите на 2 подсказочных вопроса. Если вы правильно ответите на свои подсказочные вопросы, вы сможете сбросить пароль.
      • Ваша учетная запись будет заблокирована после пяти неудачных попыток восстановить пароль.

      Наверх
    • Моя учетная запись отключена?
      • Мы могли заблокировать вашу учетную запись по одной из следующих причин:
      • Вы более пяти раз безуспешно пытались войти в систему
      • Вы сообщили о подозрении на несанкционированную активность в вашей учетной записи каким-либо другим пользователем.
      • Мы заметили необычную активность учетной записи, поэтому отключили ее и уведомили вас.
      • Если ваша учетная запись отключена, свяжитесь с нами, указав свой идентификатор обращения и хотя бы два из трех следующих элементов информации:
        1. Keystone ID
        2. Адрес электронной почты, связанный с вашей учетной записью
        3. Ответьте на подсказку
        Затем мы проверим эти данные, прежде чем повторно активировать вашу учетную запись.
        Запрос на включение аккаунта

      Наверх
    • Нужна помощь в регистрации получателя / плательщика?
      • Пожалуйста, нажмите кнопку «Зарегистрироваться сейчас», чтобы заполнить регистрационную форму. Для регистрации вам потребуется следующая информация:
        1. Ваш SSN (без тире)
        2. Ваш 9-значный идентификационный номер дела PACSES
        3. Ваш электронный адрес: имя @ домен.суффикс
        4. Keystone ID (имя пользователя): вы можете выбрать любой Keystone ID, который хотите, при условии, что он состоит не менее чем из 6 символов, не содержит пробелов, начинается с буквы и содержит только следующие специальные символы _ — @
        5. Пароль
        6. 3 вопроса-подсказки и подсказки-ответы
      • После регистрации вы можете использовать свой Keystone ID и пароль для входа в систему. Вы должны войти в систему, чтобы управлять настройками своей учетной записи, предпочтениями связи; а также для обновления вашей контактной информации, такой как ваш физический, почтовый и электронный адреса.
      • Вы не можете изменить свой Keystone ID или SSN после завершения регистрации. Если у вас возникли проблемы со входом в систему, просмотрите эту страницу или обратитесь в службу поддержки входа.

      Наверх
    • Нужна помощь в регистрации адвоката?
      • Нажмите кнопку «Зарегистрироваться сейчас», чтобы завершить процесс регистрации бизнес-партнера предприятия.После того, как вы завершите этот процесс, вы получите электронное письмо с информацией об утверждении вашей регистрации и с вашим именем пользователя.
      • Как только ваша регистрация будет одобрена, перейдите в ветку «Поверенный» и нажмите кнопку «Войти сейчас». Введите имя пользователя, полученное по электронной почте, и пароль, который вы создали при регистрации, для входа в систему.
      • При первом входе на сайт поддержки детей вам будет предложено проверить следующую информацию:

      • 1.PACSES ID поверенного
        2. Основной почтовый индекс (он будет доступен только для чтения и будет отображать почтовый индекс, указанный при регистрации)
        3. Адрес электронной почты (он будет доступен только для чтения и будет отображать адрес электронной почты, указанный при регистрации)
        4. Номер контактного телефона (он будет доступен только для чтения и будет отображать адрес электронной почты, указанный при регистрации)
        5. Источник переходов
    • После предоставления вышеуказанной информации у вас будет доступ ко всем вашим веб-страницам, включая страницы обновлений, где вы можете изменить свой адрес, адрес электронной почты и пароль в любое время.
    • PACSES ID поверенного назначаются и генерируются Системой принудительного алиментов Пенсильвании. После завершения регистрации ваш идентификатор поверенного PACSES не может быть изменен в системе. Если у вас возникли проблемы со входом в систему, просмотрите эту страницу, наше онлайн-руководство по регистрации или обратитесь в службу поддержки входа.

    Наверх
  • Нужна помощь при регистрации для выполнения запроса на услуги поддержки?
    • Пожалуйста, перейдите на www.childsupport.state.pa.us и нажмите кнопку «Получение алиментов» или «Начать / возобновить запрос». для службы поддержки »в разделе« Я бы хотел … »
    • На обзорном экране электронных услуг нажмите кнопку «Зарегистрироваться». в разделе «Новый пользователь», чтобы заполнить регистрационную форму. Вам понадобится следующая информация зарегистрироваться:
      1. Ваш SSN (без тире)
      2.Ваш 9-значный идентификационный номер дела PACSES
      3. Ваш электронный адрес: [email protected]
      4. Keystone ID (имя пользователя): вы можете выбрать любой Keystone ID, который хотите, при условии, что он состоит не менее чем из 6 символов, не содержит пробелов, начинается с буквы и содержит только следующие специальные символы _ — @
      5. Пароль
      6. 3 подсказки, вопросы и ответы
    • После успешной регистрации вы сможете использовать свой Keystone ID и пароль для входа в систему и заполнения онлайн-запроса на услуги поддержки.
    • После того, как вы зарегистрируете свой SSN и Keystone ID, эту информацию нельзя будет изменить. Если у вас возникли проблемы со входом в систему, просмотрите эту страницу или обратитесь в службу поддержки входа.
    • Если у вас уже есть Keystone ID и пароль на веб-сайте поддержки детей, вам не нужно создавать новый Keystone ID и пароль для доступа к веб-сайту и / или заполнения запроса на услуги поддержки.

    Наверх
  • Изменить адрес электронной почты?
    • Теперь вы можете изменить адрес электронной почты, связанный с вашей регистрацией на портале.
    • Пожалуйста, выполните следующий шаг, чтобы изменить адрес электронной почты:
      1. Войдите в систему.
      2. Выберите опцию «Изменить пароль» на левой панели навигации
      . 3.На странице «Изменить пароль» перейдите в нижнюю часть экрана и измените свой адрес электронной почты (где написано «Адрес электронной почты») и нажмите «Обновить» кнопка с правой стороны.
    • Обратите внимание, что вы не можете изменить свой адрес электронной почты и пароль на в тот же день.

    Наверх
  • Keystone ID и пароль не работают?
    • Убедитесь, что вы правильно вводите свой Keystone ID и пароль.

    Наверх
  • Помощь при регистрации / входе?
    Функции программного обеспечения для контроля спама предназначены для блокировки нежелательной почты или электронной почты. от неизвестных или нежелательных отправителей. Однако эти методы блокировки могут вызвать непредвиденные последствия блокировки сообщений, которые вы действительно хотите Получать.

    Вы можете не получить электронное письмо с надписью «Новая регистрация» с временным паролем. и сможет ли не войти на сайт, если:

    • Ваш интернет-провайдер предлагает функцию блокировки спама, для которой требуется отправитель (я.e., PA Child Support Website (Поддержка входа в систему), чтобы сначала ответить на ответьте по электронной почте, чтобы вас добавили в «белый список» или список одобренных отправителей
    • Вы приобрели программное обеспечение для своего персонального компьютера, требующее отправителя (например, поддержка входа на веб-сайт поддержки детей штата Пенсильвания), чтобы сначала ответить на возврат электронная почта, чтобы быть добавленным в список одобренных отправителей
    • Вы вручную создали список одобренных отправителей
    • Вы или ваш интернет-сервис используете другие методы блокировки спама. провайдер

    Если вы не получили электронное письмо «Новая регистрация» или другое ожидаемое переписка с нами, обязательно проверьте удаленные элементы и корзину папка для электронных писем с веб-сайта поддержки детей.Чтобы увеличить возможность что вы получаете от нас электронное письмо, вы должны добавить следующий адрес в свой утвержденный отправитель или «белый список»: [email protected] Если проблема продолжается, обратитесь к своему интернет-провайдеру или поставщику услуг электронной почты, чтобы проверить настройки функция блокировки СПАМА.

    Вернуться к началу

  • Надежный пароль — обзор

    Надежные пароли

    Сегодня нет оправдания наличию небезопасного пароля для вашего SQL Server.Большинство веб-сайтов, к которым вы подключаетесь, например веб-сайтов ваших банков и кредитных карт, требуют использования какого-либо надежного пароля. Шокирует количество компаний, которые не принимают эти методы близко к сердцу для обеспечения своей внутренней безопасности.

    Надежный пароль обычно определяется как пароль, который содержит не менее трех из следующих четырех категорий и имеет длину не менее восьми символов, хотя некоторым компаниям могут потребоваться более длинные пароли.

    1.

    Строчные буквы

    2.

    Заглавные буквы

    3.

    Числа

    4.

    Специальные символы

    Теперь, когда дело доходит до паролей как и учетная запись SA, которая редко, если вообще когда-либо, используется людьми, нет причин останавливаться на достигнутом. Чем длиннее пароль и чем больше специальных символов вы используете в своем пароле, тем меньше вероятность того, что кто-то сможет взломать ваш SQL Server с помощью этой учетной записи.Такое же использование надежных паролей следует использовать для любого входа в систему SQL, который вы создаете, чтобы лучше защитить эти имена входа SQL от атак грубой силы.

    Единственное, что вы можете сделать, чтобы по-настоящему обезопасить свою учетную запись SA, — это использовать в пароле некоторые высокие символы ASCII (американский стандартный код для обмена информацией). Это в основном сделает учетную запись небезопасной для большинства людей, использующих автоматические сценарии для атаки на пароль SA, поскольку все они в значительной степени используют стандартные символы латинского алфавита.Вставка символа, такого как смайлик, который можно создать нажатием 257 на клавиатуре, будет выходить за пределы диапазона символов, используемых программой взлома паролей. При использовании этого символа слово «Пароль» внезапно становится гораздо более надежным паролем, как показано на Рисунке 3.2.

    Рисунок 3.2. Слово пароль со смайликом вместо буквы «а».

    Проявив немного творчества, вы действительно сможете превратить слово «Пароль» в действительно надежный и надежный пароль.Как показано на рис. 3.3, мы дошли до крайности, заменив букву S на еврейский ламад, букву O на смайлик и букву D на знак донга.

    Рисунок 3.3. Слово «Пароль» с буквами S, O и D заменено на символы высокого ASCII.

    Вы можете получить больше идей о способах замены символов на символы высокого ASCII из таблицы символов, которая может быть найдена в Windows. Вы можете найти карту символов, щелкнув Пуск> Программы> Стандартные> Системные инструменты> Карта символов.После загрузки приложения просто прокрутите список доступных символов вниз, пока не найдете те, которые хотите использовать.

    Теперь есть загвоздка с использованием этих высоких символов ASCII для вашего пароля SA: если вам когда-нибудь понадобится войти в SQL Server с помощью учетной записи SA, вам либо потребуется использовать карту символов для получения символов, либо вы вам нужно знать коды для доступа к этим символам.

    Учетная запись SA должна быть наиболее защищенной учетной записью на вашем SQL Server по нескольким причинам, самая важная из которых заключается в том, что учетная запись SA имеет права на все, и вы не можете отозвать ее права делать все, что она хочет.Вторая причина заключается в том, что у учетной записи SA есть известное имя пользователя, поскольку вы не можете изменить имя пользователя с SA на другое. По этой причине тому, кто пытается взломать ваш SQL Server, не нужно угадывать имя пользователя; ему или ей нужно только угадать пароль, что вдвое сокращает объем работы, необходимой для взлома SQL Server.

    Самый безопасный способ защитить вашу учетную запись sa — не включать проверку подлинности SQL, которая требует, чтобы все подключения к серверу SQL происходили с доверенного компьютера, который прошел проверку подлинности в вашем домене Windows.Отключение проверки подлинности SQL — это очень простое изменение, которое вы можете внести в свой SQL Server. Однако, прежде чем отключать проверку подлинности SQL для экземпляра SQL, который уже находится в производственной среде, необходимо убедиться, что ни одно приложение не выполняет вход в SQL Server с использованием проверки подлинности SQL. Как только это будет сделано, вы можете отключить аутентификацию SQL. По возможности новые установки SQL Server должны быть настроены на использование только проверки подлинности Windows. Аутентификацию SQL можно отключить, подключив обозреватель объектов в SQL Server Management Studio к рассматриваемому экземпляру, затем щелкнув правой кнопкой мыши на сервере и выбрав свойства.Выберите вкладку Безопасность справа. В разделе Server Authentication выберите переключатель Windows Authentication, как показано на рисунке 3.4, и нажмите OK. Если вы используете Enterprise Manager для настройки SQL Server 7 или SQL Server 2000, экран свойств будет выглядеть аналогичным образом.

    Рисунок 3.4. Страница свойств безопасности в свойствах сервера с включенной аутентификацией только Windows.

    Теперь доступен код T / SQL для изменения этого параметра. Однако это изменение не является простым изменением параметров процедуры sp_configure, как большинство параметров сервера.Вам необходимо обновить реестр с помощью системной хранимой процедуры xp_instance_regwrite из основной базы данных. Код T / SQL, необходимый для изменения этого параметра, показан на рисунке 3.5. Как и все изменения, внесенные в реестр (напрямую или с помощью этого сценария T / SQL), неправильные значения или изменения приведут к неправильному поведению SQL Server или его невозможности вообще.

    Рисунок 3.5. Сценарий T / SQL для включения проверки подлинности только Windows.

    Если вы обнаружите, что вам необходимо разрешить и аутентификацию SQL Server, и аутентификацию Windows, то при использовании T / SQL используйте тот же код, что и на рисунке 3.5, заменив последнее значение параметра 1 на значение 2.

    При внесении изменений в режим проверки подлинности сервера с помощью пользовательского интерфейса (пользовательского интерфейса) или T / SQL вам потребуется перезапустить экземпляр SQL. Это связано с тем, что этот параметр является параметром реестра, который читается только при запуске экземпляра и не обновляется экземпляром во время его работы.

    При первоначальной установке экземпляра SQL Server 2005 или новее, если вы выберете только проверку подлинности Windows, SQL Server автоматически отключит для вас учетную запись sa.Это происходит потому, что вам не предлагается ввести пароль для учетной записи SA во время установки с использованием проверки подлинности только Windows. Таким образом, если вы позже перейдете с проверки подлинности Windows на проверку подлинности SQL Server, у вас будет включена учетная запись SA без пароля, что позволит легко взломать SQL Server.

    Изменить пароль | eRA

    Информация о том, как изменить или обновить пароль eRA Commons на парольную фразу.

    NIH переходит от паролей к кодовым фразам — набору случайных слов или предложений длиной не менее 15 символов — для общедоступных модулей eRA с 17 ноября 2021 года.Это изменение сделано для того, чтобы пользователи могли легко запомнить пароли, но их было сложно угадать другим.

    Хотя eRA переводит пользователей eRA Commons, Commons Mobile, ASSIST и IAR на двухфакторную аутентификацию с использованием либо Login.gov, либо федеративной учетной записи InCommon, которая поддерживает стандарты двухфакторной аутентификации NIH, пользователям по-прежнему необходимо поддерживать свои eRA Commons. имя пользователя и пароль на данный момент. eRA сохраняет учетные данные пользователя в качестве запасного варианта на случай, если они понадобятся пользователям для доступа к модулям eRA из-за редкого входа в систему.gov, даже если они перешли на двухфакторную аутентификацию.

    Пользователи, которые сбрасывают пароли по любой причине (истечение срока действия, забытый пароль и т. Д.), Должны создать парольную фразу, отвечающую новым требованиям. В рамках этой политики пользователи должны изменить свой временно назначенный пароль на парольную фразу сразу после первого входа в систему с назначенным им паролем. Парольная фраза чувствительна к регистру и не может быть повторно использована в течение 10 циклов парольной фразы.

    Парольные фразы

    нужно будет обновлять только ежегодно.

    ПРИМЕЧАНИЕ:

    • Пользователям не нужно использовать специальные символы, цифры или заглавные буквы, хотя они и разрешены.
    • В парольных фразах разрешены пробелы.
    • Пользователи могут скопировать и вставить свою парольную фразу в поле пароля. Однако система не удаляет начальные или конечные пробелы, если они случайно включают в копию дополнительный пробел, поэтому им следует быть осторожными, чтобы скопировать только временный пароль или кодовую фразу без начальных или конечных пробелов.

    Basic Tasks (пошаговые инструкции из онлайн-справки)

    * Для выполнения этой задачи вы должны войти в eRA Commons с существующим паролем.

    Основные скриншоты

    Щелкните миниатюру, чтобы развернуть ее до полного просмотра.

    Рисунок 1: Экран изменения пароля

    Рисунок 2: Экран сброса пароля для случаев, когда пользователи блокируют свою учетную запись из-за трех неудачных попыток входа в систему или забыли свой пароль

    Дополнительные ресурсы

    Политика

    Об именах пользователей, паролях и сроках действия — OpenAthens Identity

    Если вы создаете учетные записи вручную, вам необходимо знать состав имен пользователей и паролей, чтобы вас не замедлило их отклонение системой.

    Об именах пользователей

    Имена пользователей должны быть уникальными и не учитывать регистр, когда вы или владельцы вашей учетной записи вводите их. Они всегда отображаются в нижнем регистре.

    Они должны быть длиной не менее 6 и не более 20 символов. Все имена пользователей будут начинаться с префикса, уникального для вашей организации. Если вы используете любую форму автоматического создания учетной записи, такую ​​как самостоятельная регистрация или массовая загрузка, имена пользователей будут в предсказуемом формате.

    Если вы разрешаете использовать адреса электронной почты в качестве имен пользователей, то адреса электронной почты также должны быть уникальными.

    О паролях

    Длина пароля должна составлять от 8 до 100 символов и содержать сочетание букв и символов, не являющихся буквами.

    Пароли чувствительны к регистру.

    Пароли не могут:

    • совпадать с именем пользователя,
    • содержать последовательности восходящих или убывающих символов (например, 123, zyx)
    • содержать слова, которые, как известно хакерам, часто используются, такие как «пароль» или «letmein» (не полный список)
      • подстроки также могут запускать эту строку — e.г. ‘agletmeinberg13’
    • есть некоторые символы, которые не могут быть в пароле

    Для обеспечения максимальной безопасности ваши собственные пароли должны быть трудными для угадывания, но легкими для запоминания и настолько длинными, насколько вы можете удобно управлять в рамках ограничений .

    Длина лучше, чем сложность, и, поскольку разрешены пробелы, парольная фраза — это простой способ получить что-то длинное, безопасное и уникальное (например, «правильная скоба для лошадиных аккумуляторов»).

    Лучшая политика для пользователей — всегда устанавливать свои собственные пароли. , но это не всегда возможно.В этих случаях вам следует избегать (насколько это практически возможно):

    • , используя один и тот же пароль каждый раз,
    • , основываясь на личной информации, такой как опубликованные или предсказуемые шаблоны
    • замены букв в легко угадываемых словах числами — например «p455word» ничем не лучше, чем «пароль»

    Самый безопасный способ сбросить пароли пользователей — запустить электронное письмо с активацией и позволить владельцу учетной записи сделать это сам.

    О сроках действия

    Срок действия учетной записи истекает НА дату истечения срока — i.е. он не позволяет пользователю войти в систему по истечении срока действия. То же самое верно и для любых других типов даты истечения срока, которые могут использоваться схемой вашей организации, например, истечение срока действия или истечения срока действия набора разрешений.

    Электронные письма с напоминанием об истечении срока, если он включен, отправляются за 30 и 15 дней до истечения срока.

    См. Также:

    Отдел информационных технологий — Lehman College

    Руководство по управлению паролями

    Отдел информационных технологий обеспечивает доступ к компьютерам и связанным с ними технологиям в поддержку учебной, исследовательской и административной деятельности Колледжа.Посетите нашу страницу, (появится экран ниже)

    Чтобы использовать систему управления паролями, завершите краткую регистрацию, ответив на несколько вопросов безопасности. После этого вы сможете получить доступ к инструменту, если ваш пароль будет забыт или срок его действия истек. Если вы не зарегистрировались, этот инструмент будет недоступен .

    Регистрация учетной записи Lehman для входа в систему

    Завершите этот процесс, чтобы зарегистрировать учетную запись, если вы еще не сделали этого.Это позволит в полной мере использовать систему самообслуживания, включая возможность смены паролей и сброса забытых или просроченных паролей. Ответы на контрольные вопросы должны быть запоминающимися, но их нелегко получить для кого-то другого.

    • Нажмите кнопку «Зарегистрировать учетную запись»
    • Откроется страница ниже

    • Введите свое имя пользователя для входа в Lehman (например, john.doe)
    • Введите текущий пароль для входа в Lehman.
    • Введите новый пароль, который станет вашим паролем для входа в Lehman / электронной почты после успешного завершения процесса регистрации.
    • Введите новый пароль еще раз с надписью «Подтвердите новый пароль».
    • Выберите четыре вопроса и введите ответы в поле прямо под ним.

    Обратите внимание: ваш новый пароль должен состоять как минимум из восьми символов и содержать как минимум одну заглавную букву, одну строчную букву и одну цифру.

    Также ответы на все четыре выбранных вопроса должны быть уникальными.

    После успешной регистрации учетной записи Lehman вы получите подтверждающее сообщение.

    Сбросить пароль с истекшим сроком действия или забытый

    Зарегистрированные пользователи могут сбросить устаревший или забытый пароль. Вам будет предложено ответить на ваши вопросы безопасности. Ваш новый пароль должен отличаться от пароля с истекшим сроком действия и соответствовать приведенным выше рекомендациям.

    • Нажмите кнопку «Сбросить истекший пароль» или «Сбросить пароль».
    • Появится экран, показанный ниже.

    • Введите свое имя пользователя для входа в Lehman.
    • Нажмите кнопку «Отправить».

    • Ответьте на вопросы и нажмите кнопку «Отправить».
    • Появится экран, показанный ниже.

    • Введите новый пароль
    • Введите новый пароль еще раз с надписью «Подтвердите новый пароль».
    Обратите внимание: ваш новый пароль должен состоять как минимум из восьми символов и содержать как минимум одну заглавную букву, одну строчную букву и одну цифру.

    После успешной регистрации учетной записи Lehman вы получите подтверждающее сообщение.

    Смена пароля

    Зарегистрированные пользователи могут щелкнуть здесь, чтобы изменить свой текущий пароль. Измените свой пароль в любое время или в ответ на уведомление по электронной почте, отправленное за 10 дней до истечения срока. Ваш новый пароль должен отличаться от вашего текущего пароля и соответствовать требованиям к паролям.

    • Нажмите кнопку «Изменить пароль»
    • Появится экран, показанный ниже.

    • Введите свое имя пользователя для входа в Lehman.
    • Введите текущий пароль учетной записи для входа в Lehman.
    • Введите новый пароль, подтвердите его и нажмите кнопку «Отправить».
    Обратите внимание: ваш новый пароль должен состоять как минимум из восьми символов и содержать как минимум одну заглавную букву, одну строчную букву и одну цифру.
    Проверьте свой аккаунт

    Щелкните здесь, чтобы подтвердить, что ваша учетная запись была зарегистрирована

    Вы можете проверить свою учетную запись после сброса или изменения пароля.

    • Нажмите кнопку «Проверить свою учетную запись»
    • Появится экран, показанный ниже

    • Введите свое имя пользователя для входа в Lehman.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *