почему использование специальных символов в паролях считается надежным паролем?
Конечно. Это очень долго объяснять, и это превосходит мои скромные способности, поэтому вам нужно будет прочитать о концепции энтропии в теории информации . Более простое объяснение из Википедии :
Пароли, созданные человеком
Люди, как известно, небрежны в достижении достаточной энтропии для создания удовлетворительных паролей. Некоторые фокусники сцены используют эту неспособность для развлечения, в незначительной степени, предсказывая предполагаемый случайный выбор (скажем, чисел), сделанный членами аудитории.
Таким образом, в одном анализе более 3 миллионов восьмизначных паролей буква «e» использовалась более 1.5 миллионов раз, в то время как буква «f» использовалась только 250 000 раз. При равномерном распределении каждый символ использовался бы около 900 000 раз. Наиболее распространенным используемым числом является «1», в то время как наиболее распространенными буквами являются a, e, o и r.
Обратите внимание, что полная сила, связанная с использованием всего набора символов ASCII (цифры, буквы смешанного регистра и специальные символы), достигается только в том случае, если каждый символ в пароле выбран случайным образом из этого набора. Заглавная буква и добавление одной или двух цифр и специального символа к паролю не достигнет той же силы. Если цифры и специальные символы добавляются предсказуемым образом, скажем, в начале и в конце пароля, они могут даже снизить надежность пароля по сравнению со случайным паролем из всех букв одинаковой длины. Специальная публикация NIST 800-63
Специальная публикация NIST 800-63 от июня 2004 года предлагает следующую схему для приблизительной оценки энтропии паролей, созданных человеком: 2
The entropy of the first character is four bits;
The entropy of the next seven characters are two bits per character;
The ninth through the twentieth character has 1.5 bits of entropy per character;
Characters 21 and above have one bit of entropy per character.
A "bonus" of six bits is added if both upper case letters and non-alphabetic characters are used.
A "bonus" of six bits is added for passwords of length 1 through 19 characters following an extensive dictionary check to ensure the password is not contained within a large dictionary. Passwords of 20 characters or more do not receive this bonus because it is assumed they are pass-phrases consisting of multiple dictionary words.
Используя эту схему, восьмизначный пароль, выбранный человеком, без заглавных букв и неалфавитных символов, по оценкам, имеет 18 бит энтропии. В публикации NIST признается, что на момент разработки было мало информации о реальном выборе паролей.
Более поздние исследования энтропии паролей, выбранных человеком, с использованием новых доступных данных реального мира показали, что схема NIST не обеспечивает достоверной метрики для оценки энтропии паролей, выбранных человеком. Вопросы удобства использования и реализации
Поскольку национальные реализации клавиатуры различаются, не все печатаемые символы 94 ASCII могут использоваться везде. Это может создать проблему для международного путешественника, который хотел войти в удаленную систему с помощью клавиатуры на локальном компьютере. См.раздел Раскладка клавиатуры. Многие ручные устройства, такие как планшетные компьютеры и смартфоны, требуют сложных последовательностей сдвигов для ввода специальных символов.
Программы аутентификации различаются тем, какие символы они допускают в паролях. Некоторые не признают различий в регистре (например, верхний регистр «E» считается эквивалентным нижнему регистру «e»), другие запрещают некоторые другие символы. В последние несколько десятилетий системы разрешили больше символов в паролях, но ограничения все еще существуют. Системы также различаются по максимальной длине разрешенных паролей.
или, говоря языком непрофессионала: для каждого дополнительного байта, который вы добавляете поверх буквенно-цифровых опций, вы делаете пароли более сложными и трудными для взлома.
Более подробная информация здесь
Какие символы вы бы сделали недействительными для пароля?
Гипотетическая ситуация: вы внедрили систему обработки паролей, и она вообще не накладывает никаких ограничений на то, какие символы можно использовать. Вы хотите установить некоторые правила, которые являются разумным компромиссом между двумя вещами —
- Предоставьте пользователю как можно больше свободы.
- Учтите возможность того, что вы можете изменить способ обработки паролей в будущем — вы не хотите исключать разумные реализации, потому что существующие пароли ваших пользователей станут недействительными.
Какие правила вы бы установили? Есть ли другие факторы, которые могут повлиять на ваш выбор?
security language-agnostic validation passwordsПоделиться Источник Unknown 06 октября 2009 в 08:40
12 ответов
13
Не накладывайте никаких ограничений вообще, никогда. или #).
Поделиться Anton Gogolev 06 октября 2009 в 08:44
10
Лучше всего вообще никаких ограничений, если вы действительно не можете их оправдать.
Если вы являетесь банком, поставщиком услуг email или если пользователь может заказать что-то без предоставления кредитной карты, то принуждение пользователей использовать надежный пароль имеет смысл. В противном случае вы просто усложняете ситуацию без всякой причины.
Что касается того, что вы должны хранить, я бы сказал, что 1024 символа юникода с запрещенными управляющими символами-это все, что оправдано. Если пользователь не может ввести его, он должен был выбрать другой пароль. Все, что вы храните, — это hash, так что вы всегда можете сократить его до любого размера, который захотите.
Поделиться Kevin Peterson 06 октября 2009 в 08:49
3
Лично я всегда стремился не навязывать слишком много правил.
Это только что изменилось. Я только что обнаружил, что мой сайт уязвим для атак XSS. Решение состоит в том, чтобы очистить каждый фрагмент ввода, поступающий от пользователя, включая пароль.
В течение 10 лет у нас не было ограничений на пароль. Теперь мы вводим ограничение на количество символов, которые могут быть использованы, и это просто для того, чтобы хакеры не могли получить доступ к Javascript или SQL. Поэтому мы составили следующий список:
Допустимыми символами для пароля являются: a-z A-Z 0-9 . — _ $ * ( ) # @ ! % / (пустой)
Это обеспечивает большую гибкость, но позволяет избежать символов, которые могут быть использованы при кодировании взлома XSS, таких как ; < > \ { } [ ] + = ? & , : ‘» `
HTH
Поделиться muz the axe 21 июля 2016 в 21:31
2
Никаких ограничений на пароль. Если они могут ввести его со своей клавиатуры, независимо от того, какую региональную клавиатуру они используют. Возможно, вы захотите ввести минимальную длину, такие параметры, как по крайней мере одно число и один специальный символ, но без максимального ограничения.
Что касается вашего второго вопроса. Я бы реализовал это с помощью создания отдельных полей по мере повышения надежности пароля. Например, прямо сейчас у вас будет два поля, которые относятся к паролю: salt, password_md5. Допустим, позже вы захотите использовать sha256. Создайте новое поле с именем password_sha256. Когда пользователь входит в систему, вы сначала проверяете password_sha256. Если это поле пусто, проверьте password_md5. Если это соответствует, теперь у вас есть пароль в виде обычного текста, введенный пользователем. Затем вы можете сгенерировать пароль sha256 (я бы также сбросил соль для хорошей меры) и сохранить новое значение. Затем я бы вычеркнул значение в password_md5, чтобы никто не мог отменить его, чтобы получить пароль.
Лично я бы просто выбрал лучшее, что может сделать ваш язык, и использовал бы это. Важно обеспечить соблюдение хорошей политики минимального пароля-не имеет значения, насколько безопасен hash, когда пароль «1234»-и заполнить hash каким-либо случайным символом, чтобы избежать атак по словарю.
Поделиться vrillusions 07 октября 2009 в 16:56
2
Любой неуправляемый персонаж должен быть в порядке. Я должен думать, что разработчики супер-пупер систем паролей в будущем разрешат «unusual» ASCII символов, таких как знаки препинания и другие знаки, но управляющие символы имеют привычку быть громоздкими для ввода в текстовом режиме, и даже GUI диалогов, которые ожидают, что Tab и Enter/Return будут свободны для своих собственных целей.
Поделиться Coxy 06 октября 2009 в 08:47
2
Пустое пространство (в зависимости от логики оно может быть случайно обрезано перед хэшированием)
Поделиться Chris S 06 октября 2009 в 08:48
0
В нашей организации, если пользователь вводит пароль, мы разрешаем ему использовать все, что он хочет.
Когда пользователи впервые регистрируются в системе, для них генерируется пароль. Поскольку этот пароль обычно отправляется им по почте, мы избегаем использования определенных символов, которые могут быть перепутаны, особенно при использовании определенных шрифтов. Например, буква O и число 0 (ноль) не используются. То же самое для L, I и 1 (один), S и 5, Z и 2 и других.
До того, как мы внесли это изменение, у нас было много звонков в нашу службу поддержки, потому что персонажи, которых мы перепутали, не могли войти в систему.
Поделиться HitLikeAHammer 07 октября 2009 в 17:04
0
Я бы сохранил все, что вы можете сделать с помощью одной клавиши (и, возможно, shift) на клавиатуре, кроме tab. Какие схемы потребовали бы более ограничительного варианта?
Поделиться Peter 06 октября 2009 в 08:42
0
Попросите пользователей ввести пароли, содержащие по крайней мере число и не буквенно-цифровой символ, и длиной более шести символов. В любом случае, я думаю, что независимо от ограничений, в случае, если вы измените способ проверки паролей, вы должны уведомить пользователей в разумные сроки, чтобы обновить их.
Поделиться luvieere 06 октября 2009 в 08:46
0
Лично я использую клавиатуру отпечатков пальцев DigitalPersona (да, Microsoft делает [или делала] подобное устройство, как интегрированное с клавиатурой, так и отдельно от нее).
Это позволяет генерировать чрезвычайно длинные и сложные пароли, которые не нужно записывать (так как нажатие пальца на считыватель вводит пароль в диалоговое окно входа в систему [system/application/website]).
Это, на мой взгляд, обеспечивает лучшее из обоих миров: Чрезвычайно трудно «guess» паролей, не запоминая их. Это также упрощает дополнительную рекомендацию по безопасности использования разных паролей в разных системах.
Ну, это мои два цента.
Поделиться Mark Ward 28 сентября 2012 в 13:38
0
Некоторые правила, которым нужно следовать:
- Избегайте Управляющих Символов. Сегодня это не так распространено, но все управляющие символы имеют специальные значения, и некоторые аппаратные средства перехватывают управляющие символы для выполнения специальных функций. Некоторые из них вызовут проблемы с данными, например, элемент управления 0 (ноль) будет генерировать null.
- Вы собираетесь ввести ограничения безопасности? Это вопрос пользовательского интерфейса, а также проблема безопасности. Что такое ваше приложение и его потребность в безопасности. Многие из приведенных ранее примеров устарели. Hash таблицы для комбинаций паролей публикуются для паролей до 15 символов, а 16-символьные пароли могут быть принудительно введены в течение нескольких минут, если пароль в противном случае слаб или следует типичному поведению человека. Начинается с заглавной буквы, заканчивается цифрой или специальным символом.
- Я бы избегал общих подстановочных знаков, кавычек, двоеточия, точки с запятой и т. Д., Которые обычно используются в языках OS или DB.
- Многофакторная аутентификация-это хороший способ. Не зависите только от пароля или вообще не принимайте пароли.
Поделиться Uruloki 10 августа 2016 в 21:25
-3
Правила, которые я бы предложил соблюдать:
- Длина — не менее 8 символов, но не более 20
- Простота взлома — пропуск не должен содержать имя пользователя, фамилию или имя пользователя, а также (если возможно проверить) любое слово, которое появляется в словаре английского языка.
- Содержание — На клавиатуре есть 4 типа символов: прописные, строчные, цифры и знаки препинания. Хороший пароль должен включать представителей не менее 3 групп и не более 2-3 символов одной и той же группы подряд.
Поделиться Traveling Tech Guy 06 октября 2009 в 08:48
Похожие вопросы:
Как бы вы сделали систему «Favorite Pages»
Поэтому мое руководство попросило меня включить способ для пользователей отмечать страницы на моем сайте как favorite и показывать их в специальном списке. Этот сайт имеет статическую структуру (я…
если бы вы переосмыслили twitter, что бы вы сделали по-другому?
Я только что увидел веселый The Rise and Fall of Twitter , который заставил меня задуматься: если бы вы переосмыслили twitter, что бы вы сделали по-другому? Какие технологии вы бы использовали? На…
Excel импорт как бы вы это сделали?
Хорошо, у меня написан импорт Excel. Он использует автоматизацию excel, чтобы просмотреть все записи и выполнить работу. Как бы вы это сделали, если бы вам пришлось это сделать? Вы бы использовали…
Как бы вы сделали программу мгновенного обмена сообщениями для пользовательской базы веб-сайтов?
У меня есть сайт социальной сети, похожий по дизайну на сообщество типа myspace/facebook, я использую php/mysql в настройке LAMP. Я всегда хотел иметь свой собственный мессенджер, который будет…
Неправильно прочитанные спецификации — что бы вы сделали?
Ваш владелец проекта дал вам спецификацию и попросил вас предоставить оценку для этого. Вы с радостью подчинились и дали ему цифру. Вы взяли плату в пересчете на work/ часов. Но когда проект был…
Если бы вы могли существенно изменить библиотеки Java classpath, какие другие решения вы бы приняли?
Если бы у вас была возможность значительно изменить / обновить библиотеки Java classpath, какие вещи вы бы сделали add/update/change/deprecate/remove?
Regex для пароля: повторяющиеся символы
У меня есть следующие условия для проверки пароля. Длина пароля должна составлять не менее восьми (8) символов. Пароль должен содержать как буквенные, так и цифровые символы. Пароль не может…
Как бы вы сделали такую анимацию рисования над текстом?
Попробуйте загрузить этот сайт и наведите курсор мыши на текст: http://www.guillaumetomasi.com / эффект довольно приятный. Что-то вроде динамической картины над ним. Как бы вы это сделали? Какие-то…
Как бы вы сделали волну анимированной div css/js
Один из способов, который я могу придумать, — это анимированный svg, но, вероятно, есть и лучший способ. Что бы вы сделали, если бы вам пришлось анимировать эти волнистые капли (совместимые с…
Как бы вы сделали набор B подмножеством A
Я видел множество примеров, указывающих, как найти подмножества данного множества, но как бы вы сделали подмножество множества другим? Итак, множество B является подмножеством множества A, как бы…
Что такое специальные символы для пароля – 4apple – взгляд на Apple глазами Гика
Для ввода имени пользователя и пароля разрешается применять следующие символы. _`
Имя пользователя для входа в систему
Пробелы, двоеточия и кавычки не допускаются.
Оно не может состоять только из цифр, и поле нельзя оставлять незаполненным.
Длина ограничивается 32 символами.
Пароль для входа в систему
Максимально допустимая длина пароля для администраторов и супервайзера составляет 32 символа, тогда как для пользователей длина ограничивается 128 символами.
В отношении типов символов, которые могут использоваться для задания пароля, никаких ограничений не установлено. В целях безопасности рекомендуется создавать пароли, содержащие буквы верхнего и нижнего регистров, цифры и другие символы. Чем большее число символов используется в пароле, тем более трудной является задача его подбора для посторонних лиц.
В подразделе [Политика паролей] раздела [Расширенная безопасность] вы можете установить требование в отношении обязательного включения в пароль букв верхнего и нижнего регистров, цифр и других символов, а также минимально необходимое количество символов в пароле. Для получения сведений об определении политики паролей см. Настройка функций расширенной безопасности.
Виновником в этом случае является конкретный (и особенно большой) банк, который не допускает использование специальных символов (любого рода) в своих паролях: просто [a-Z 1-9]. Есть ли у них веская причина для этого? Кажется, что противодействовать такой стойкости паролей, особенно для системы, защищающей такую ценную информацию, нецелесообразно.
Единственное, что мне удалось придумать, – это слабая попытка помешать SQL-инъекциям, но при этом предполагается, что пароли не хешируются (что, я надеюсь, не соответствует действительности).
9 ответов
Одно из объяснений, которое я не видел здесь, заключается в том, что многие финансовые учреждения тесно интегрированы со старыми системами и связаны с ограничениями этих систем.
Ирония этого в том, что я видел системы, которые были созданы для совместимости со старыми системами, но теперь старые системы исчезли, и политика все еще должна существовать для совместимости с более новой системой, которая была создана для совместимости со старыми система.
(урок здесь заключается в том, что если вам нужно быть совместимым со старой системой, разрешите в будущем устранить эти ограничения).
Как насчет стоимости поддержки? Допустим, что мы позволили любому создать пароль, состоящий из € chars. Ура, мы можем использовать специальные символы в наших паролях. Но подождите – как же мы можем ввести этот пароль, если хотим получить доступ к нашему банку с мобильного телефона? Проще набрать € с нашей клавиатуры, чем с мобильного телефона.
А как насчет каникул? Мы находимся в Великобритании, где доступ только к британской клавиатуре. Вместо € мы можем легко набрать £ . Слово easily здесь очень важно. Для некоторых обычных пользователей проблема с набором символов для «новой» клавиатуры может быть проблемой. Как он будет пытаться решить это? Он, вероятно, позвонит в службу поддержки банка, чтобы попросить их сменить пароль или попросить why the € character dissapeared from his keyboard .
Это может быть (слабо) оправдано как мера глубокой защиты – если есть инъекция или другая ошибка интерпретации данных, ограничение набора символов и длины пароля может помешать его использованию. Это также несколько упрощает реализацию, поскольку, если они имеют дело только с 7-битными символами ASCII, обработка строк в Юникоде и многобайтовых символов не имеет значения, и более простые реализации, как правило, с меньшей вероятностью содержат ошибки.
Однако оценить этот уменьшенный риск по сравнению с повышенным риском из-за низкого качества пароля непросто – я ожидаю, что по мере увеличения числа пользователей системы число паролей, которые могут быть скомпрометированы, также увеличивается, что делает инвестиции в снятии таких ограничений более целесообразно. Все это говорит о том, что пароли большинства пользователей будут ужасны, даже если поле будет полностью неограниченным.
Я предполагаю, что политика существует для всех полей, введенных пользователем, и для простоты была применена та же политика ввода пользователя (без специальных символов) для полей, включая пароли. Или в какой-то момент какой-то банк не хэшировал пароли и проводил атаку SQLi через их поле паролей, и было принято решение, что пароли не могут иметь специальных символов (и причина введения политики была забыта после введения хэширования).
Безусловно, есть преимущество безопасности, заключающееся в том, что в других полях, вводимых пользователем, не допускается использование специальных символов, которые не хэшируются и могут использоваться для различных атак, таких как SQLi или XSS (на администратора банка, просматривающего учетную запись). Тем не менее, эти угрозы, как правило, решаются путем всегда использования связанных параметров в SQL и всегда санации пользовательского ввода перед отображением / сохранением в БД.
Мое другое предположение состоит в том, что они хотят иметь собственные правила, которые могут отличаться от других мест, поэтому вы не можете легко использовать свой стандартный надежный пароль (который может быть утерян) и должны придумать что-то уникальное для их сайт.
РЕДАКТИРОВАТЬ: При дальнейшем размышлении, в зависимости от языка, я могу придумать, по крайней мере, три специальных символа ASCII, которые должны быть повсеместно запрещены / удалены, поскольку позволяют им только искушать судьбу.&*(-=_+ , и это вызывает неизбежное, я могу только войти в систему из окон не моя машина mac / linux. На самом деле, вполне разумно разрешить печатную версию ascii (32-126) и запретить непечатный ASCII. 0-31 и 127.
Но если под специальными символами вы подразумеваете юникод, а не символы ASCII (например, 2b 41 38 41 2d , то для простоты реализации из нескольких операционных систем / клавиатур / браузеров кажется разумным не допускать использование специальных символов. Представьте, что в вашем пароле есть строчная буква pi. Было ли это греческим пи (π), который является кодовой точкой 0x3c0, или коптским строчным пи (ⲡ), который является кодовой точкой 0x2ca1 – будет работать только один, и этот тип проблемы схожих символов с разными кодовыми точками будет существовать в Юникоде. Ваш хэш, который работает биты не смогут приравнять два π, поэтому, если вы попытаетесь войти в разные места, вы можете ввести разные символы.
Точно так же, хотя эта проблема является единственной, которую программист может в значительной степени контролировать и пытаться исправить, допуская, что символы Юникода создают проблемы кодирования. То есть для ваших основных символов ascii все представлено однобайтовым числом. Тем не менее, существует множество различных схем для кодирования Unicode. Это UTF-7, UTF-8, UTF-16, UTF-32, Latin-1 (iso-8859-1), кодировка Latin-N и (для некоторых кодировок) порядок байтов (младший или старший порядковый номер) ? Кодовая точка Unicode для pi (0x3c0) будет представлена как байты CF 80 в UTF-7, FF FE c0 03 в UTF-8, FF FE 00 00 c0 03 00 00 в UTF-16 и A1 в UTF-32. Вы не сможете представить пи в Latin-1 (в ней только 95 дополнительных печатаемых символов), но если в вашем пароле есть ¡ĄĦЁ‘ก”Ḃ и вы используете разные кодировки, вам, возможно, придется представлять его из любого из следующих символы %co_de% (которые в некоторых латинских N могут обозначать A1).
Да, на веб-странице может быть определен набор символов, но пользователи могут переопределить набор символов на странице в своем браузере или скопировать и вставить данные из другого места в другой кодировке. В конце дня может быть проще просто запретить эти символы.
В этом разделе приведена информация об особенностях применения специальных символов в ИД пользователей и паролях.
В обычной ситуации ИД пользователя может содержать только символы a-z, A-Z, DBCS, точку (.) и символ подчеркивания (_). Диакритические знаки, такие как умляут, недопустимы. Пароль может содержать только символы a-z, A-Z, точку (.) и символ подчеркивания (_). Диакритические знаки, такие как умляут, и символы DBCS недопустимы.
Когда пользователь самостоятельно регистрируется в портале, или его регистрирует администратор, заполняется форма с информацией о пользователе. В этой форме не следует указывать неподдерживаемые символы. Независимо от того, какие символы разрешено вводить в форме с информацией о пользователе, ИД пользователя и пароль должны содержать только указанные выше символы. В полях Имя и Фамилия разрешено указывать и некоторые другие символы. В приведенной ниже таблице указан набор поддерживаемых символов для каждого обязательного поля формы с информацией о пользователе.
Поля формы с информацией о пользователе | Допустимые символы | Неподдерживаемые символы |
---|---|---|
ИД пользователя | Буквы a-z, A-Z, точка (.) и символ подчеркивания ( _ ) | Диакритические знаки |
Пароль / Подтверждение пароля | Буквы a-z, A-Z, точка (.)и символ подчеркивания ( _ ) Примечание: Вход в систему будет запрещен, если пароль содержит специальные символы, в том числе символы DBCS.Это произойдет даже в том случае, если пользователь успешно зарегистрировался в портале с паролем, содержащим символы DBCS. | Диакритические знаки и символы DBCS |
Имя | Все символы | н/д |
Фамилия | Все символы | н/д |
Примечание: Для изменения параметров проверки по умолчанию выполните следующие действия:
- Откройте файл /shared/app/config/puma.properties и внесите в него следующие изменения:
- Добавьте допустимые символы имени пользователя в ключ puma.UID.extra_chars.
- Добавьте допустимые символы пароля в ключ puma.PASSWORD.extra_chars.
- Добавьте допустимые специальные символы в ключ puma.group.extra.
- Добавьте специальные атрибуты короткого ИД группы в ключ puma.group.cn.
- Измените максимальную длину имени группы, заданную в ключе puma.group.cn.max.
- Измените минимальную длину имени группы, заданную в ключе puma.group.cn.min.
- Сохраните внесенные изменения.
- Перезапустите WebSphere Portal.
Связанная информация
Library | Support | Terms of use | Feedback
Information Center last updated: Friday, November 19, 2004
IBM WebSphere Portal for Multiplatforms 5.1 | (c) Copyright IBM Corporation 2000, 2004
Как создать надежный пароль: подробное руководство
Безусловно каждый из нас хочет защитить от посягательств свои данные, но часто люди пренебрегают даже элементарными правилами безопасности. Например, многие учетные записи защищены слабыми паролями, что упрощает работу киберпреступникам. Несколько месяцев назад, мы как раз писали о худших паролях 2020 года. Однозначно существует тонкая грань между выбором пароля, который никто не сможет отгадать, и паролем, который легко запомнить. Потому сегодня разберем эту тему по косточкам и сделаем так, чтобы вам больше не пришлось нажимать на ссылку «забыл пароль».
Что такое надежный пароль?
Начнем с определения. Надежный пароль — это пароль, который невозможно угадать или взломать методом перебора.
Вы уже знаете, что хакеры используют компьютеры для перебора различных комбинаций букв, цифр и символов. Современным компьютерам не составляет труда за считанные секунды взломать короткие пароли, состоящие только из букв и цифр. Именно по этой причине так важно использовать надежные комбинации — сочетать заглавные и строчные буквы, цифры и специальные символы. Длина пароля должна составлять не менее 12 символов, но мы рекомендуем выбирать более длинные.
Суммируем характеристики надежного пароля:
- Не менее 12 символов. Чем длиннее ваш пароль — тем лучше.
- Содержит прописные и строчные буквы, цифры и специальные символы. Такие пароли сложнее взломать.
- Не содержит буквы или цифры, которые идут подряд в раскладке.
- Не основан на вашей личной информации.
- Пароль уникален для каждой вашей учетной записи.
Наверняка вы замечали, что о надежности вашего пароля «переживают» многие сайты. При создании учетных записей часто всплывают подсказки, которые напоминают включить в него цифры, буквы и определенное количество символов. Слабые пароли чаще всего не пропускаются системой.
Помните, что переиспользовать пароль для других учетных записей не стоит по соображениям безопасности.
Длинный пароль — хороший пароль
Когда речь идет о безопасности пароля, длина действительно имеет значение. Мы рекомендуем выбирать пароль длиной 12 символов и больше. Каждый дополнительный символ в пароле экспоненциально увеличивает количество возможных комбинаций. Это делает защиту надежнее.
Надежный пароль не очевиден
Хороший пароль должен быть таким, чтобы его было очень трудно угадать или взломать, поэтому не стоит выбирать что-то общее и простое, например, «12345». Кстати, этот вариант занимает первое место в рейтинге худших паролей 2020.
Забудьте об очевидных последовательностях клавиш
Не используйте последовательные комбинации клавиш, например, «qwerty», так как хакеры точно взломают их. Логика такая, если вы не потратили никаких усилий на придумывание хорошего пароля, хакерам не понадобится много усилий, чтобы его взломать.
Никак личных данных в паролях
Очень важно, чтобы вы не использовали ничего личного, например, прозвище, дату рождения или кличку вашего питомца. Такую информацию хакеру очень легко узнать, просто просмотрев ваши социальные сети.
Хороший пароль должен быть уникальным
После того как вы создали надежный пароль, у вас может возникнуть соблазн использовать его для всех своих учетных записей. Но если вы так поступите, это сделает вас более уязвимым перед атаками. То есть, если хакеру удастся узнать ваш пароль, он сможет войти в каждый аккаунт, для которого вы использовали его, включая электронную почту, социальные сети и рабочие аккаунты.
Опросы показывают, что многие люди используют один и тот же пароль, потому что его легче запомнить. Не волнуйтесь, существуют множество способов, которые помогут вам управлять большим количеством паролей, о них мы поговорим дальше. Главное, не используете свои пароли повторно, особенно если они уже были взломаны. Проверить это можно на сайте — https://haveibeenpwned.com/
Используйте специальные символы в паролях
Хотя использование специальных символов в паролях — это действительно хороший способ сделать их более надежными, не все учетные записи позволяют использовать любые символы. : } | \ ~ $ ; ‘ : _ ? ( ) .
Вот несколько хороших примеров надежных паролей с использованием спецсимволов:
Эти пароли не являются универсальными и не содержат запоминающихся ключевых символов или личной информации, которой могли бы воспользоваться хакеры.
ИДЕИ ДЛЯ СОЗДАНИЯ НАДЕЖНОГО ПАРОЛЯ
К счастью, существует множество способов создать уникальные и надежные пароли для каждой из ваших учетных записей. Подробнее разберем каждый из них:
- Используйте генератор/менеджер паролей
Если у вас нет времени придумывать собственные надежные пароли, генератор паролей, который по совместительству может быть и менеджером — это действительно быстрый и простой способ. Вот несколько рекомендаций от нас:
- KeePass
- LastPass
- 1Password
Скопируйте пароль и используйте его для своего устройства, электронной почты, аккаунта в социальных сетях или чего-либо еще, требующего приватного доступа. Главное, не переиспользуйте один и тот же несколько раз.
- Выбирайте не слово, а фразу
Парольные фразы гораздо надежнее паролей, поскольку они обычно длиннее, и их сложнее угадать или перебрать. Поэтому вместо слова выберите фразу и возьмите первые буквы, цифры и знаки препинания из этой фразы, чтобы создать на первый взгляд случайную комбинацию символов. Также попробуйте поменять местами слова и знаки препинания.
Вот несколько примеров того, как можно использовать метод парольной фразы для создания надежных паролей:
- I first went to Disneyland when I was 4 years old and it made me happy —I1stw2DLwIw8yrs&immJ
- My friend Matt ate six doughnuts at the bakery café and it cost him £10 — [email protected]&ich£10
- For the first time ever, Manchester United lost 5:0 to Manchester City —4da1sttymevaMU5:02MC
- Выберите более оригинальный вариант
Всё просто — откройте словарь или книгу и выберете случайное слово, а лучше несколько. Соедините их вместе с цифрами и символами, чтобы хакеру было гораздо сложнее их разгадать.
Например:
- Песок, вилка, дым, ладно — Pesok%vilka9dym/ladno56
Вы можете использовать и кириллицу, но иногда кириллические символы некорректно обрабатывают авторизационное программное обеспечение (модули, которые принимают пароли на вход и сравнивают с сохранёнными криптохэшами), поэтому более надёжно делать пароли латиницей.
- Играйте с фразами и кавычками
Если вам нужен пароль, который трудно угадать другим, но легко запомнить вам, хорошей идеей может стать использование вариаций на тему значимой для вас фразы или цитаты. Просто возьмите фразу, которую вы запомните, и замените некоторые буквы на цифры и символы.
Например:
- «For the first time in forever»: Disney’s Frozen — 4da1stTymein4eva-Frozen
- Используйте смайлики
Если вы хотите добавить символы к своим паролям, не усложняя их запоминание, вы всегда можете использовать смайлики.<)
(~.~) (o_O)
Что делать после того, как придумал пароль?
- Настройте пароли для конкретных учетных записей
После того как вы придумали надежный пароль, который вы можете запомнить, вам все равно придется создавать разные пароли для каждой из ваших учетных записей. Но вместо того, чтобы придумывать несколько новых, вы можете добавить в конце название платформы, которую используете. Например, если ваш пароль был nHd3#pHAuFP8, просто впишите в конце слово EMa1l для вашей электронной почты — получится nHd3#pHAuFP8EMa1l.
- Закрепите пароль в мышечной памяти
Если вы хотите запомнить свой пароль, нелишним будет несколько раз потренироваться его печатать. В конце концов, если вы сделаете это достаточное количество раз, у вас выработается мышечная память, благодаря которой вам будет гораздо легче его запомнить.
Как сохранить пароль в безопасности?
- Выберите хороший менеджер паролей
Независимо от того, создаете ли вы собственные надежные пароли или ищете онлайн-сервис, который сделает это за вас, используйте надежный менеджер паролей. Он генерирует, хранит и управляет всеми вашими паролями в одном безопасном онлайн-аккаунте. Все, что вам нужно сделать, это сохранить все пароли от ваших учетных записей в программе, а затем защитить их одним «главным паролем». Это означает, что вам придется запомнить только один надежный пароль. Мы рекомендуем такие программы:
- KeePass
- LastPass
- 1Password
- Используйте двухфакторную аутентификацию
Вы уже много раз об этом слышали, но повторимся. Двухфакторной аутентификации (2FA) — это дополнительный уровень безопасности. Даже если кому-то удастся украсть ваш пароль, вы сможете предотвратить доступ к вашей учетной записи. Обычно это одноразовый код, который может быть отправлен вам текстовым сообщением или другим способом. Кстати, получить SMS не самый безопасный способ, потому что хакер способен украсть номер вашего мобильного телефона в результате мошенничества с подменой SIM-карт и получить доступ к вашему проверочному коду.
Гораздо безопаснее использовать приложения для двухфакторной аутентификации. Например, Google Authenticator или Microsoft Authenticator.
- Не сохраняйте пароли на телефоне, планшете или компьютере
Это может показаться очевидным, но люди часто сохраняют так свои пароли. Не делайте этого! Документы, электронные письма, заметки, мессенджеры могут взломать.
- Храните пароль в тайне
Даже если вы полностью доверяете человеку, которому раскрываете свой пароль, рискованно отправлять пароль через текстовое сообщение или электронную почту. Даже если вы просто произносите его вслух или пишете на листочке, кто-то заинтересованный может подслушивать и делать записывать за вами.
Источник: Cybernews
Каким должен быть хороший пароль и как его запомнить?
Мы ежедневно пользуемся огромным количеством сервисов в Интернете и храним множество паролей. Взлом аккаунта – иногда просто досадная мелочь, но если взломали рабочую учетную запись или электронный кошелек, вы потратите много времени на восстановление данных или вовсе лишитесь денег со счета. Конечно, серьезные интернет-сервисы предпринимают меры для защиты ваших данных, и при регистрации система просто не примет пароль, если он не соответствует хотя бы минимальным требованиям безопасности.
Что такое безопасный пароль
Если соблюдать простые правила при создании пароля, степень защиты вашей информации будет максимально высокой.
- Хороший пароль – всегда комбинированный. В нем используются символы, буквы и цифры разного регистра.
- Длина пароля – желательно не менее 8 символов, а лучше не менее 12.
- Избегайте смысловых паролей: не используйте распространенные фразы или слова. Исключите любые данные, которые содержат информацию о вас: даты рождения, имена и фамилии, номера телефонов, адреса, клички домашних животных. Если злоумышленник нацелен именно на ваш аккаунт, он может найти эту информацию в открытом доступе – например, в соцсетях или через знакомых.
- Не используйте простые пароли, состоящие из очевидной последовательности цифр или букв на клавиатуре. Самые распространенные в мире комбинации: 123456, 12345678, password, qwerty, asdfgh. Исключение составляют аккаунты, которые не содержат личных данных, которыми вы редко пользуетесь, поэтому их не жаль потерять. Например, случайные форумы, где соблюдение безопасности не имеет смысла.
- Не используйте один и тот же пароль для нескольких аккаунтов, даже сложный. Если злоумышленник сумеет узнать пароль от одного сервиса, другие ваши данные тоже окажутся под угрозой.
- Пароль не должен совпадать с логином. Конечно, запомнить его проще всего, но и угадать тоже. Для этого не требуется даже специальное ПО.
- Меняйте пароли. Желательно – не менее 3-4 раза в год. Многие сайты, которые следят за безопасностью ваших данных, даже напоминают о том, что пароль пора сменить.
Как придумать и запомнить сложный пароль
Записывать пароли на бумажках или хранить файл с данными аккаунтов небезопасно, особенно если к вашему компьютеру имеют доступ и другие люди. Идеальный вариант – держать пароль в голове. Есть несколько эффективных способов придумать мудреный пароль и легко его запомнить.
- Ассоциация с известной фразой Если у вас есть какая-нибудь любимая фраза или отрывок из стихотворения, можно составить пароль из первых букв ее слов. К примеру, используем отрывок из стихотворения Пушкина «Буря мглою небо кроет, вихри снежные крутя, То как зверь она завоет, то заплачет как дитя». Из первых букв четверостишия у нас получится пароль bmnkvsktkzoztzkd. Можно проверить его сервисами для оценки надежности паролей. Поздравляем, сервис говорит, что для взлома методом подбора потребуется не одно тысячелетие.
Согласитесь, запомнить один сложный пароль гораздо проще, чем 40. Суть метода заключается в том, чтобы придумать надежную основу для всех паролей, которые вы будете использовать, но каждый раз изменять определенную его часть в зависимости от сайта, на который вы заходите. Например, основой служит случайная комбинация символов bu0C@I6TbpKw. Для электронной почты можно добавить к паролю буквы из названия сервиса, для которого используется пароль. Например, для электронной почты на mail.ru можно добавить к паролю первую букву, и получится Mbu0C@I6TbpKw. Способ создания такого пароля неочевиден. Правда, если злоумышленники каким-то образом получат доступ к нескольким аккаунтам, они могут проанализировать принцип их создания и понять вашу схему.
- Кириллица в латинской раскладке Можно сделать паролем русское слово, набранное на латинской раскладке клавиатуры. Однако такой пароль надо усложнить, разбавляя его цифрами или символами. Например, вы используете в качестве пароля слово «интернет». В латинской раскладке это будет выглядеть как bynthytn. Теперь разбавим пароль цифрами или знаками после каждой буквы, можно подбирать какие-то запоминающиеся для вас даты: b31y12n5t22h21y6t87n. Пароль становится сложным, но простым для запоминания, так как логика его создания для вас понятна.
- Генераторы паролей Чтобы не ломать голову, проще всего воспользоваться генератором паролей. Таких сервисов – огромное количество, и можно воспользоваться любым из тех, что найдется по запросу через Яндекс или Google. Вот примеры таких сервисов:
Как проверить надежность пароля
Если вы придумали пароль, но сомневаетесь в его уникальности и надежности, существуют сервисы, которые помогут оценить безопасность пароля. https://howsecureismypassword.net/
Менеджеры паролей
Пожалуй, единственный недостаток сгенерированного пароля в том, что его крайне сложно запомнить. У любого активного пользователя Интернета не один десяток аккаунтов – от социальных сетей, электронной почты, онлайн-игрушек, интернет-магазинов. Если для каждого аккаунта сгенерировать длинный пароль, состоящий из случайного набора символов, запомнить их все будет практически невозможно. Чтобы не потерять доступ к важным данным, используйте специальные программы для хранения паролей, например, Enpass, KeePass, Dashlane, LastPass,1Password. Они удобны тем, что достаточно помнить всего один пароль, чтобы получить доступ ко всем остальным.
Выбор стойкого пароля | hpc@cmc
Доступ к вычислительным ресурсам факультета ВМК МГУ осуществляется на основании имени пользователя и пароля. Только владелец учетной записи должен иметь возможность входить в систему, используя этот пароль. Названия аккаунтов не являются секретной информацией, но пароли не должны быть известны никому, кроме владельца учетной записи. Очень важно использовать стойкий пароль, чтобы не стать жертвой злоумышленника, воспользовавшегося эффективной программой перебора паролей.
Для смены пароля служит команда passwd
.
Если вы применяете ОС Windows, то мы рекомендуем менять пароль,
работая в программе PuTTY, потому что отмечено, что,
например, используя программу WinSCP, не всегда удается
сделать это корректно.
Как выбрать стойкий пароль
Слабые пароли
Сначала мы приведем несколько примеров слабых паролей:
- root — легко угадываемый
- abc123 — легко угадываемый
- andrew — популярное имя
- P@$$W0rd — замена букв на символы с похожим начертанием
- qwerty123 — соседние символы на клавиатуре
В общем случае пароли, которые можно угадать на основе знания персональных данных, таких как
- дата рождения
- имена детей
- номер автомобиля
- …
считаются слабыми.
Более стойкие пароли
Если бы нижеследующие пароли не были приведены здесь, то их можно было бы считать стойкими:
- Hg5+War$ — не является словом из словаря, содержит буквы верхнего и нижнего регистра, цифры, специальные символы
- Convert_100€_to_Roubles! — фразы могут быть длинными, легко запоминающимися и содержать специальные символы, но, к сожалению, часть систем фактически использует лишь первые восемь позиций, а некоторые символы могут быть доступны не на всех клавиатурах
Стойкие (т.е. такие, которые трудно подобрать человеку или машине) пароли
- состоят из восьми символов (не все системы принимают более восьми)
- нельзя найти в словаре
- содержат буквы обоих регистров, цифры и специальные символы
Чтобы составить стойкий пароль, можно воспользоваться следующим алгоритмом:
- придумайте предложение, которое легко запомнить, например: «Lomonosov MSU is the best university in Russia».
- теперь возьмите первые символы каждого слова: lmitbuir
- замените некоторые из них на цифры: 1mit6uir
- часть строчных букв заместите заглавными: 1miT6uIr
- вместо какой-нибудь буквы поставьте специальный символ: 1m|T6uIr
Теперь у вас есть пароль, который легко запомнить, но трудно подобрать.
Сохраняйте ваши пароли в тайне
После того как вы придумали хороший пароль, необходимо держать его в секрете. Несколько общих правил, которые обычно нарушаются, состоят в следующем:
- нельзя записывать пароль открытым текстом
- никому нельзя говорить свой пароль
- желательно менять пароль по крайней мере два раза в год
- необходимо рассматривать свою систему как безопасную, но если она окажется взломанной, то все пароли, которые вы когда либо в ней вводили должны считаться скомпрометированными
Текст на этой странице является вольным переводом рекомендаций суперкомпьютерного центра SARA
Бесплатный генератор паролей онлайн. Создать пароль.
- Главная
- Инструменты
- Работа с текстом
- Бесплатный генератор паролей онлайн
Здесь вы можете бесплатно сгенерировать (создать) пароль любой длины и уровня сложности для ваших приложений, аккаунтов, соц. сетей, паролей к Windows, зашифрованным архивам и т.д.
Что такое пароль?
Пароль – это секретный набор символов, который защищает вашу учетную запись.
Это что-то вроде пин-кода от пластиковой карточки или ключа от квартиры, автомобиля. Он должен состоять только из латинских букв и/или цифр. Никаких знаков препинания и пробелов. Регистр букв тоже имеет значение. То есть если присвоен пароль, в котором присутствует большая (заглавная) буква, но при его наборе пользователь печатает маленькую, то это будет ошибкой – в аккаунт его не пустят.
Пароль должен быть сложным! В идеале он должен состоять минимум из десяти знаков, среди которых есть цифры, большие и маленькие буквы. И никаких последовательностей – всё в разброс. Пример: Yn8kPi5bN7
Чем проще пароль, тем легче его взломать. И если это произойдет, взломщик получит доступ к аккаунту. Причем, Вы об этом, скорее всего, даже не узнаете. А вот человек сможет, например, прочитать Вашу личную переписку или даже поучаствовать в ней.
Один из самых частых паролей, который указывают пользователи при регистрации – год рождения. Подобрать такой «ключ» совсем несложно. Еще очень часто используют набор цифр или букв клавиатуры, расположенных по порядку (типа 123456789 или qwerty).
Как придумать сложный пароль?
Обязательные требования к надежному паролю
- Пароль должен содержать не менее 8 символов.
- Пароль должен содержать заглавные и строчные буквы, цифры, пробелы и специальные символы.
Например: oNQZnz$Hx2.
Пароль не должен содержать
- Личную информацию, которую легко узнать. Например: имя, фамилию или дату рождения.
- Очевидные и простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать. Например: password, parol, abcd, qwerty или asdfg, 1234567.
Есть несколько эффективных способов придумать надежный пароль:
- Смешение. Набираем кириллическое слово латинским регистром, вставляем после каждой буквы значимые для Вас цифры (номер дома, квартиры) или трансформируем некоторые буквы в цифры (вместо буквы Б ставим цифру 6, вместо Я – 9I и т.п.)
- Набираем слово или словосочетание с пробелами в неправильных местах. Например, «мо йпа роль».
- Вводим фразу, попеременно нажимая клавишу Shift. Например, ВоТ-ВеДьЗ@сАдА
- Выбираем два слова – имя прилагательное (свободный) и глагол (бегать). Добавляем знаменательный год, например 1980 и любой символ. Получаем: Свободный19%БеГать80!
- Придумываем пароль с орфографическими ошибками и снабжаем его символами и цифрами: КоКой№&_Пороль.
- Вспоминаем русский фольклор или поэзию и шифруем послание. Например, возьмем пословицу «Терпение и труд все перетрут». Запишем каждую первую букву каждого слова на английском языке в нижнем регистре, а каждую вторую – в верхнем. Между словами поставим знаки препинания. Получаем: tE!i?tR?vS!pT.
Сложновато? Зато пароль, который Вы придумаете таким способом, будет надежным.
Защита пароля
- Никому не сообщайте и не отправляйте свои пароли.
- Не оставляйте в доступном месте пароли, записанные на бумаге.
- Используйте менеджер паролей или встроенное в браузер хранилище паролей.
- Используйте разные пароли для ваших учетных записей. Если вы будете использовать одинаковые пароли, а злоумышленник узнает пароль от одной учетной записи, он сможет получить доступ ко всем остальным.
Рекомендуем использовать как минимум заглавные, маленькие буквы и цифры, но если вы добавите еще и какой либо символ (!,.?%: и т.д.), то такой пароль вскрыть будет намного сложнее.
В вашем браузере отключен Javascript.Чтобы произвести расчеты, необходимо разрешить элементы ActiveX!Больше интересного в телеграм @calcsbox
Ноу-хау: Советы по созданию надежных паролей
Чтобы создать надежный пароль, по возможности используйте генератор паролей в Password Depot: выберите максимально допустимое количество символов и все разрешенные типы символов для максимальной безопасности. Вам не нужно запоминать пароли, сгенерированные генератором паролей, потому что вы храните их в Password Depot. Таким образом, они могут быть очень длинными и сложными.
Однако, если по какой-либо причине вы хотите создать пароль «вручную», эти советы помогут вам в дальнейшем.
Советы по созданию надежных паролей
Вот полезные советы, которые следует учитывать при создании надежных паролей.
Много символов: Используйте как можно больше символов для своего пароля, поскольку каждый дополнительный символ повышает его безопасность. Используйте не менее восьми-десяти символов, но желательно столько символов, сколько позволяет целевая система.
Избегайте: Короткие пароли («привет», «abc» …) или пароли из одного символа («a», «1»…)
Различных знаков: Не повторяйте никаких символов, даже без строк — независимо от типа символов (буквы, цифры, знаки препинания, символы).
Избегайте: «ababab», «aaaaa». И т. Д.
Различные типы символов: Используйте буквы верхнего и нижнего регистра, а также цифры, знаки препинания и специальные символы. В идеале вы должны использовать все разрешенные типы символов. Не делайте этого, если ваш пароль длиннее.
Избегайте: паролей, состоящих только из букв или цифр.
Нет строк: Избегайте шаблонов в отношении букв, цифр и ввода с клавиатуры.
Избегайте: «12345», «abcde», «asdfg» …
Не заменять буквы похожими символами: Замена букв на похожие цифры или специальные символы не обманет хорошего хакера. Следовательно, замена буквы «o» на цифру «0», «i» на «1» или «a» на «@» («P @ word») имеет ограниченное применение. Поэтому не заменяйте «i» на «1», а на специальный символ, например, «$».
Избегайте: «P @ ssw0rt», «M1crosoft» …
Нет личных предпочтений: Ни имен , ни номера . Не используйте имена родственников, знакомых или домашних животных. Также никаких личных номеров, например с телефона или машины.
Избегайте: «Мамочка», «Милая», «DA-AB-309» …
Никаких личных предпочтений: Личные предпочтения так же легко угадать, как личные имена и номера. Так что не выбирайте любимую еду, спорт, локации, сериалы и т. Д.для вашего пароля.
Избегайте: «PizzaSalami», «BayernMünchen», «Bodensee» …
Нет словарных статей . Если в словаре есть слово, это небезопасно, независимо от длины и словаря. Потому что хакерские программы могут систематически пробовать словарные статьи.
Избегайте: «Duden», «Donauschifffahrtsdampfer» …
Изменить: Регулярно меняйте пароли — чем чаще они защищают конфиденциальные данные, тем короче пароли.В качестве приблизительного ориентира пароли длиной менее восьми символов следует менять еженедельно, от восьми до десяти символов ежемесячно и более двенадцати символов каждые шесть месяцев.
Password Depot Совет: Let Password Depot напомнит вам о необходимости обновления ваших паролей. Заполните поле «Действителен до». Это позволяет вам определять индивидуальный срок действия для каждой записи.
Разнообразие: Используйте разные пароли для каждой учетной записи. Никогда не используйте одинаковые или похожие пароли для нескольких учетных записей.
Сводка:
- Пароль должен использовать максимальное количество символов , разрешенное каждой учетной записью, .
- Он должен содержать все символы, разрешенные учетной записью, например цифры, знаки препинания и специальные символы . Точно так же следует смешивать прописные и строчные буквы .
- Если пароль можно найти в словаре или в другом словаре , то это небезопасный пароль — независимо от длины! Программы, которые могут взламывать пароли, работают со словарями и систематически пробуют записи.
- Вы должны не использовать имена членов семьи или вашего домашнего животного. Точно так же у нет номеров телефонов, номерных знаков или других данных, которые можно было бы легко узнать о вас.
- Они также используют , а не простые раскладки клавиатуры , такие как «asdf» или «jklö».
ВАЖНО: Регулярно меняйте пароли. Чем конфиденциальнее данные, тем чаще следует менять пароль. Используйте поле «Действителен для», чтобы автоматически напоминать Password Depot о необходимости обновления пароля.
Советы по созданию мастер-пароля в хранилище паролей:
Из вышеупомянутых советов вы найдете следующие советы по созданию безопасного мастер-пароля для хранилища паролей:
Создайте безопасный мастер-пароль, используя первые буквы простого пароля. запомнить фразу. «Я использую надежные пароли в Password Depot и использую это уже 10 лет», — передает пароль «IvsKiPDudss10J». Чтобы сделать этот пароль еще более надежным, замените букву «s» специальным символом, например «#».».
веб-приложение — Какие символы нельзя разрешать в паролях?
Могут возникнуть проблемы с символами, отличными от ASCII. Пароль — это последовательность глифов, но для обработки пароля (хеширования) потребуется последовательность из битов , поэтому должен существовать детерминированный способ преобразования глифов в биты. Это целое мутное болото кодовых страниц. Даже если вы будете придерживаться Unicode, возникнут проблемы:
Один символ может иметь несколько декомпозиций в виде кодовых точек.Например, символ «é» (который очень часто встречается во французском языке) может быть закодирован либо как одна кодовая точка U + 00E9, либо как последовательность U + 0065 U + 0301; обе последовательности должны быть эквивалентными. Получите ли вы одно или другое, зависит от соглашений, используемых устройством ввода.
Строка Unicode — это последовательность из кодовых точек (которые являются целыми числами в диапазоне от 0 до 1114110). Существует несколько стандартных кодировок для преобразования такой последовательности в байты; наиболее распространенными будут UTF-8, UTF-16 (прямой порядок байтов), UTF-16 (прямой порядок байтов), UTF-32 (прямой порядок байтов) и UTF-32 (прямой порядок байтов).Любой из них может начинаться или не начинаться с спецификации.
Следовательно, одиночный «é» может быть осмысленно закодирован в байты по крайней мере с двадцатью различными вариантами, и это при соблюдении «основного Unicode». Кодировка Latin-1 или ее аналог от Microsoft также широко распространена, поэтому сделайте это 21. Какая кодировка будет использоваться данной частью программного обеспечения, может зависеть от множества факторов, включая локаль. Это неприятно, когда пользователь больше не может войти на свой компьютер, потому что он переключил конфигурацию с «Канадский — Английский» на «Канадский — Французский».
Экспериментально , большинство проблем такого рода можно избежать, ограничив пароли диапазоном печатаемых символов ASCII (с кодами от 32 до 126 — лично я бы избегал пробелов, поэтому сделайте это 33 –126) и принудительно монобайтовая кодировка (без спецификации, один символ становится одним байтом). Поскольку пароли предназначены для ввода на различных клавиатурах без визуальной обратной связи, список символов должен быть еще более ограничен для оптимального использования (я ежедневно борюсь с канадскими раскладками, где то, что написано на клавиатуре, не обязательно соответствует тому, что думает машина. есть, особенно при прохождении одного или двух вложенных подключений RDP; символы ‘<', '>‘ и ‘\’ чаще всего перемещаются).Используя только буквы (прописные и строчные) и цифры, все будет в порядке.
Можно сказать, что ответственность несет пользователь; он может использовать любые символы, которые он пожелает, до тех пор, пока он занимается проблемой их набора. Но это не совсем логично: когда у пользователей возникают проблемы, они звонят по номеру в вашу службу поддержки , и вы должны принять на себя часть их ошибок.
А использование спецсимволов в паролях — это плохо?
Большинство так называемых средств проверки надежности паролей не понимают правильно ни пароли, ни энтропию.У меня всегда находил что-то нелепое, выдающееся за надежный пароль. Попробуйте указать свое имя и дату рождения (с точками или косыми чертами, в зависимости от вашего региона). Здесь есть ваши прописные и строчные буквы, специальные символы и цифры, но никто в здравом уме не порекомендует это в качестве пароля.
И все же JohnDoe01.01.1980 оценивает «220 триллионов лет» на https://howsecureismypassword.net/ и 100% на http://www.passwordmeter.com/.
https: // www.my1login.com/resources/password-strength-test/ — единственная обнаруженная мной программа проверки, которая понимает глупость — введите этот пример и посмотрите, как его оценка меняется от «фантастической» к «средней», когда вы вводите последнее число, и оно «становится «что есть календарная дата.
Итак: Используйте больше, чем примитивные механизмы вычисления энтропии для определения паролей.
Для вашего конкретного случая это означает:
на бумаге Расширение набора символов резко увеличивает пространство поиска и должно сделать пароли более безопасными. на самом деле 99,9% пользователей будут использовать свой собственный языковой стандарт, а испанский a или немецкий умляут — это всего лишь несколько дополнительных символов, а не — все пространство UTF-8. Потому что было бы глупо предполагать, что злоумышленник не принимает во внимание элементарную человеческую природу.
Есть еще аспекты юзабилити. Однажды мне пришлось войти в свою учетную запись удаленно из японского интернет-кафе, и это было определенно не весело. Если бы мое имя пользователя, пароль или любая из необходимых мне команд содержали символы, отличные от ASCII, я не думаю, что это было бы каким-либо образом.
Если удаленно возможно, что вам, возможно, придется войти в свою машину с другой клавиатуры, чем та, которую вы используете сейчас, слишком специальные символы будут держать вас подальше от вашей учетной записи лучше, чем забытый пароль.
И давайте даже не будем говорить о Unicode и его многочисленных неработающих реализациях, которые могут вызвать дополнительные проблемы.
Это также некоторые из причин, по которым генераторы паролей избегают символов, отличных от ASCII:
Недостаточно дополнительной безопасности, чтобы компенсировать все потенциальные проблемы.
И, пожалуйста, миленькая, пожалуйста — не думайте о сложности пароля. Это соломенный мост из змеиного масла. Длина превосходит сложность в любой день, и если вы используете генераторы паролей, вы, вероятно, также храните их в диспетчере паролей и не заботитесь о том, набираете ли вы 10, 20, 40 или 200 символов.
Лучший совет №1 по безопасности паролей — использовать новый длинный случайный пароль для каждого Интернет-сайта, на котором вы регистрируетесь, чтобы ваш пароль не был потерян при следующем взломе.Потому что вы не можете быть уверены, что они правильно хэшируют и солят их, а если они этого не сделают, то вся сложность и специальные символы в мире не имеют никакого значения.
4 совета по созданию безопасных паролей
Рекомендуется + Безопасность и конфиденциальность + Новости безопасности
опубликовано 3 августа 2012 г., автор: Питер Джеймс
В предыдущей статье я выделил четыре типа паролей, которые вам не следует создавать, если вы не хотите, чтобы ваш аккаунт был взломан. Учитывая ценность ваших паролей, важно, чтобы они были безопасными, но при этом не были слишком сложными для запоминания.Пароли защищают не только вашу информацию в Facebook, ваш личный блог и вашу учетную запись электронной почты, но также и многие учетные записи, связанные с вашей кредитной картой, такие как учетные записи Amazon, eBay и PayPal.
Вот четыре совета, показывающих, как создавать безопасные пароли:
Совет №1: Размер имеет значение
С паролями чем больше, тем лучше. 4-символьный пароль может быть взломан с использованием методов «грубой силы», когда компьютер просто перебирает все возможные комбинации символов — довольно быстро.6-значный пароль займет гораздо больше времени; На 8 символов даже длиннее. Если вы хотите быть по-настоящему безопасным, используйте 12 или более символов.
Совет № 2: Разнообразие — это пряность жизни
В паролях можно использовать четыре типа символов:
- строчные буквы (a, b, c)
- заглавные буквы (A, B, C)
- цифры (1, 2 3)
- «специальные символы», включая знаки препинания (.;!) И другие символы (# * &)
Есть 26 строчных букв, 26 заглавных букв, 10 цифр и, в зависимости от веб-сайта, до пары десятков специальных символов (некоторые сайты не позволяют использовать определенные символы).Если вы создадите пароль из 6 цифр, есть миллион возможностей. Однако если вы используете шесть строчных букв, число вырастет до более чем 300 миллионов. А если вы используете комбинацию прописных и строчных букв, вы получите 2 миллиарда различных комбинаций. Добавьте специальные символы, и количество возможных вариантов исчисляется сотнями миллиардов.
Объедините это с советом №1 и используйте более длинный пароль, и вы увидите, как эти числа расширяются быстрее, чем Вселенная во время Большого взрыва. Если вы используете только буквы и цифры, 8-значный пароль может иметь до 200 триллионов возможностей.Переходите к 12-символьным паролям, и число становится настолько большим, что я даже не знаю, как его определить (это 10 23 плюс немного).
Совет № 3: Создавайте уникальные пароли
Вот простой способ создать уникальные, запоминающиеся пароли, которые невозможно взломать. (Что ж, АНБ может это сделать…) Вам следует установить такой пароль для учетной записи пользователя на вашем Mac, потому что, если кто-то сможет войти в вашу учетную запись, он сможет получить доступ ко многим вашим файлам и личной информации.
Для начала хочется чего-нибудь запоминающегося.В качестве примера предположим, что вы поклонник сериала Игра престолов . Вы можете создать такой пароль:
игра престолов
Это 13 символов, поэтому он довольно длинный, но все буквы в нижнем регистре. Давайте добавим пару заглавных букв, чтобы сделать его более сложным, но не в ожидаемых местах, таких как «g» или «t»:
gAmeoftHroneS
Так немного лучше. А теперь давайте добавим пару цифр.Их все еще нужно легко запоминать, верно? Как насчет этого:
гАм3ФрОнес
И добавление даже одного специального символа значительно усложняет взлом:
gAm3oftHr0n & S
Это несложно запомнить, но могло бы быть немного проще. Итак, давайте просто используем одну заглавную букву, одну цифру и один специальный символ; этого более чем достаточно, чтобы сделать его нерушимым:
gAm3ofthron & s
Теперь у вас есть надежный пароль.Согласно сайту HowSecureIsMyPassword.net, настольному компьютеру потребуется около 423 миллионов лет, чтобы взломать этот пароль.
Совет № 4: Используйте связку ключей для хранения паролей или используйте диспетчер паролей
Несмотря на то, что у вас есть действительно надежный пароль, вы все равно не хотите использовать его на всех своих веб-сайтах. Вы можете использовать связку ключей Mac OS X для хранения паролей — это то, что «запоминает» пароли, когда вы вводите их в Safari, наряду с паролями, которые вы используете для почты и других программ.Вы также можете использовать одну из многих программ, хранящих пароли, но убедитесь, что главный пароль, который вы используете для этого программного обеспечения, такой же надежный, как и в приведенном выше примере.
Есть ли у вас другие советы по созданию безопасных паролей?
Эта запись была размещена в разделах «Рекомендуемое», «Безопасность и конфиденциальность», «Новости безопасности» и помечена как безопасность паролей, пароли, конфиденциальность. Добавьте в закладки постоянную ссылку. Пароль изсимволов — обзор
Defense
Средства защиты от доступа и эскалации в значительной степени основаны на хорошо написанной и реализованной политике паролей, установке исправлений и усилении защиты системы.Все они являются распространенными и хорошо известными методами безопасности и теоретически являются одними из самых основных мер безопасности, которые мы можем применить при защите нашей среды, но они не так широко применяются, как мы могли бы подумать.
Защита от инструментов подбора и взлома паролей в основном сосредоточена на обеспечении надежных паролей. Общий стандарт надежных паролей: минимальная длина восьми символов, хотя бы один символ верхнего регистра, хотя бы один символ нижнего регистра, хотя бы одна цифра и хотя бы один символ.Хотя некоторым это может показаться чрезмерным, мы можем довольно легко увидеть разницу в использовании такого пароля по сравнению с более простым паролем.
Пароль из восьми символов, в котором используются только строчные и прописные буквы, имеет 200 миллиардов возможных комбинаций. Имея достаточно мощную рабочую станцию (100000000 предположений в секунду), мы могли бы перебрать все возможные комбинации примерно за 30 минут. Используя более надежную схему пароля, которую мы указали выше (верхний регистр, нижний регистр, числа, символы), наш восьмизначный пароль имеет 7.2 квадриллиона комбинаций, а для грубой силы потребуется чуть больше 2 лет [6]. Увеличение длины пароля и добавление дополнительных наборов символов продолжают эту тенденцию и могут быстро сделать невозможным подбора или взлом пароля даже для очень мощных или распределенных инструментов взлома.
Еще один важный шаг, который необходимо предпринять, особенно в случае защиты от таких инструментов, как Metasploit или CANVAS, — обеспечить быстрое исправление наших систем. Многие такие инструменты могут проникнуть в систему за несколько секунд при наличии незащищенных уязвимостей, с которыми можно работать, и этой ситуации легко избежать.Мы можем утверждать, что установка исправлений для приложений и операционной системы сразу после их выпуска является безрассудным занятием и что мы можем вызвать больше проблем, чем исправить, и, скорее всего, это правда. Мы обязательно должны найти время, чтобы протестировать исправления, прежде чем применять их, за исключением очень немногих и редких случаев. Вполне вероятно, что эксплойты, с помощью которых злоумышленники проникают в наши системы, будут более старыми и более распространенными, чем передовыми, но мы должны исправлять все, что мы разумно можем, как можно скорее.
Наконец, мы должны укрепить наши системы настолько, насколько это возможно, и по-прежнему позволять им выполнять свои функции. Чем больше портов, сервисов, учетных записей и т. Д. Мы оставляем включенными в системе, тем большую поверхность атаки мы представляем тем, кто попытается ее скомпрометировать. Во многих случаях отдельные системы имеют очень мало задач, требующих открытия внешнего доступа, входящего или исходящего, и закрытие таких потенциальных методов доступа значительно ограничивает набор инструментов, которые мы оставляем для использования злоумышленником.
Выбор и запрос надежных паролей: TechWeb: Boston University
Введение
Правильно подобранный пароль повышает безопасность вашей учетной записи, файлов и компьютера. При наличии достаточного времени и ресурсов можно угадать любой пароль. Мы можем защитить наши ресурсы, сделав наши пароли максимально трудными для подбора, тем самым увеличив время, необходимое для их подбора.
Пароль настолько хорош, насколько он непредсказуем. Один из наиболее распространенных методов взлома компьютерных систем — просмотр списка пользователей и попытка угадать их пароли. Это простая задача — написать программу, которая пробует такие очевидные вещи, как имя пользователя (с большой буквы или без нее), общие псевдонимы, номер телефона пользователя и любое слово, найденное в стандартном словаре.
Одна из самых сильных сторон пароля заключается в его разнообразии. На стандартной американской клавиатуре есть 47 клавиш, которые имеют два возможных выходных символа, используемых в пароле, что дает в общей сложности 94 возможных символа, которые можно легко выбрать для использования в вашем пароле.Чем больше вы используете это разнообразие, особенно более непонятные его части, тем меньше вероятность того, что кто-то быстро угадает ваш пароль.
Одна из самых сильных сторон пароля — его длина . Теория вероятностей говорит нам, что каждый дополнительный символ в пароле умножает объем работы, которую должна выполнить программа подбора пароля, чтобы взломать ваш пароль. Трехсимвольный пароль, состоящий только из символов от A до Z (в верхнем или нижнем регистре), может быть угадан чуть более чем за 140 000 попыток.Пароль из 8 символов, потенциально использующий все 94 символа, потребует более 722 квадриллионов (1 квадриллион = 1000 триллионов) угадываний.
Надежный пароль сочетает в себе длину, разнообразие и непредсказуемость .
Советы по выбору надежного пароля
- Используйте не менее десяти символов, но не более пятнадцати
- Используйте как минимум две заглавные буквы (A-Z), как минимум две строчные буквы (a-z), одну цифру (0-9) и один знак пунктуации (например, точку, запятую, тире и т. Д.))
- Используйте выдуманные слова, которых нет ни в одном (даже иностранном) словаре
- НЕ ставьте специальные символы только в самом начале или в конце пароля
- НЕ используйте палиндромы (последовательности одинаковых символов вперед и назад)
- НЕ включайте серии из трех или более символов (например, aaa)
- НЕ используйте идентифицируемую последовательность цифр (шаблоны, такие как ваш номер социального страхования, идентификационный номер BU, дата рождения, номер телефона, почтовый индекс и т. Д.)
- НЕ включайте ничего в свою учетную запись, например, ваше имя для входа в BU, адрес электронной почты или инициалы
- НЕ используйте общеупотребительное слово или любое слово, которое можно найти в словаре английского или иностранного языка
- НЕ используйте имена собственные или вымышленные персонажи
- НЕ используйте простую последовательность символов клавиатуры с написанием слева направо или справа налево.
- НЕ используйте название курса
Концепция парольной фразы
Пароль хорош, только если вы единственный, кто его знает. Поскольку сложные пароли трудно запомнить, люди часто прибегают к их записи или выбирают менее сложные пароли. Чтобы упростить задачу, мы предлагаем вам использовать пароли вместо паролей.
Парольную фразу можно создать, взяв предложение и выбрав первую букву из каждого слова. Например, рассмотрим следующее предложение: «Хороший пароль длинный, сложный, непредсказуемый и известен только мне». Мы могли бы взять только первую букву каждого из этих слов, чтобы составить кодовую фразу «agpilcuakotm».Маловероятно, что кто-то догадается, что это ваш пароль, но пока вы помните фразу, вы всегда сможете ввести пароль.
Сделайте замену символов для увеличения сложности. Пароль «agpilcuakotm» не очень сложный. Чтобы помочь в этом, мы можем сделать две вещи. Во-первых, мы можем добавить запятые из фразы в кодовую фразу, чтобы получить: «agpil, c, u, akotm». Мы также можем ввести случайную капитилизацию: «aGPil, c, u, akotm» и, наконец, сделать такие замены, как использование знака равенства для «is» и числа 1 для «only», чтобы получить «aGP = l, c, u, ак1тм ».Маловероятно, что кто-то случайно угадает этот пароль. Он также имеет достаточную длину, чтобы быть паролем Kerberos, хотя фразу, использованную для его создания, было легко запомнить.
Другой распространенный метод — это включение перестановки букв в парольную фразу.
Рекомендуемые правила паролей для администраторов
Большинство современных операционных систем позволяют администратору запрашивать определенные характеристики пароля перед его установкой. Рекомендуется реализовать эту функцию и соблюдать следующие правила:
- Требуется не менее двенадцати символов.Старайтесь не ограничивать максимальную длину.
- Требовать использования цифр, букв и знаков препинания.
Эти и другие требования необходимы для паролей Kerberos BU.
Эти требования являются стандартными для систем, использующих npasswd (IS&T установила системы Solaris и SGI и системы BU Linux для локальных паролей).
Чтобы установить эти требования для пользователей Windows, прочтите это.
Также ознакомьтесь с нашими советами по установке пароля администратора в системах Microsoft Windows.
надежных паролей — Вклад IS&T — Hermes
На этой странице:
Правила паролей
Ваш пароль или парольная фраза должна соответствовать следующим правилам:
- Это должно отличаться от вашего текущего пароля.
- Это должно быть из 8 или более символов.
- Он должен содержать символы как минимум двух разных классов символов (буквы верхнего и нижнего регистра, буквы и символы, буквы и цифры и т. Д.)
- Это должно состоять из букв латинского алфавита или символов на американской клавиатуре.
- Это не должно основываться на вашем имени пользователя Kerberos.
- Это не должно быть словом , которое встречается в словаре.
Создание эффективных надежных паролей
Другие предложения
- Удалите все гласные из короткой фразы, чтобы создать «слово».
Пример: llctsrgry («Все кошки серые») - Используйте аббревиатуру: выберите первую или вторую букву вашей любимой цитаты.
Пример: itsotfitd («Это размер борьбы в собаке») - Составляйте пароли как из букв, так и из букв. (Без букв относятся цифры и все знаки препинания на клавиатуре.)
- Преобразование фразы с помощью цифр или знаков препинания.
Примеры: Idh82go (мне бы не хотелось идти), UR1drful (ты замечательный). - Избегайте выбора пароля, в котором написано слово. Но, если надо, то:
- Добавьте в слово «безмолвные» символы.Пример: va7ni9lla
- Умышленно неправильно написано слово или фразу. Пример: choklutt .
- Выберите слово, не состоящее из слов меньшего размера.
- Добавляйте в пароли случайные заглавные буквы. Начинайте с любой буквы, кроме первой.
- Сочетания длинных слов и цифр. Например, возьмите четыре слова и поставьте между ними несколько чисел: stiff3open92research22closer
- Аббревиатура вашего любимого высказывания или песни, которая вам нравится.
Пример: GykoR-66 (Получите удовольствие от маршрута 66) или L! Isn! (Прямой эфир! Сегодня субботняя ночь!). - Легко произносимое бессмысленное слово с некоторыми не буквами внутри.
Пример: slaRoo @ Bey или klobinga-dezmin. - Меняйте пароль не реже одного раза в год. Еще лучше меняйте пароль каждые несколько месяцев, чтобы уменьшить окно экспозиции. Вы можете создать три или четыре пароля, если хотите, а затем менять их в течение года.
- Не используйте один и тот же пароль для нескольких учетных записей. Когда один сайт взломан, хакеры пытаются использовать эти пароли для доступа к учетным записям на других сайтах. Не позволяйте хакерам получить доступ ко всем вашим учетным записям в результате одного взлома.
Примечание: Не принимайте ни один из примеров паролей, показанных выше ( choklutt , va7ni9lla и т. Д.) В качестве собственного пароля Kerberos. По очевидным причинам они больше не являются безопасным выбором парольных фраз.
Используйте парольную фразу
Другой распространенный метод защиты пароля — использование парольной фразы вместо пароля.Парольная фраза — это просто предложение, включая пробелы, которое вы используете вместо однопроходного «слова». Фразы-пароли должны иметь длину не менее 15–25 символов (пробелы считаются символами), но не менее. Чем длиннее, тем лучше, потому что, хотя пароли выглядят простыми, увеличенная длина обеспечивает так много возможных перестановок, что стандартная программа для взлома паролей не будет эффективной. Всегда хорошо замаскировать эту простоту, добавляя элементы странности, бессмыслицы или случайности.Вот, например, пара кандидатов на парольные фразы:
Пицца с хрустящими спаниелями
Терапия из искореженной хурмы
Ставьте знаки препинания и пишите с заглавной буквы:
Пицца с хрустящими спаниелями!
Терапия искаженной хурмой?
Добавьте несколько цифр или символов из верхнего ряда клавиатуры, а также несколько слов с намеренными ошибками, и вы создадите для своей учетной записи ключ, который практически невозможно угадать:
Пицца с 6 хрустящими спаниелями!
mangl3d Хурма Th4rapy?
Подсказки парольной фразы:
Ваш пароль никогда не должен содержать информацию, которая может идентифицировать вас лично, например, номера социального страхования, номера телефонов, номера кредитных карт, даты рождения или ваше имя пользователя Kerberos.Вместо этого положитесь на фразу, которая имеет для вас достаточно значения, чтобы вы легко ее запомнили, а затем смешайте ее.
Старайтесь избегать фраз, состоящих из общих, более коротких слов. Например, фраза «У моей собаки длинные пальцы», хотя и достаточно длинная, чтобы быть приличной парольной фразой, содержит так много маленьких слов, что программа для взлома паролей может иметь больше шансов ее расшифровать. Однако «Провинстаун в августе переполнен!» или «Парковка Revere Beach заполнена!» приемлемы и легко запоминаются.
Примечание: Не принимайте ни один из примеров парольных фраз, показанных выше, в качестве своей собственной парольной фразы Kerberos.По очевидным причинам они больше не являются безопасным выбором парольных фраз.
Менеджеры паролей — хорошая идея?
Да, если у вас есть надежный пароль, защищающий все ваши пароли в диспетчере паролей. Большинство менеджеров паролей используют шифрование. Если вы используете диспетчер паролей на основе браузера, такой как LastPass, вам не нужно запоминать каждый отдельный пароль для своих учетных записей в Интернете, но вам нужно помнить свой главный пароль.