Новые системы паролей — «Хакер»
Прошли те времена, когда надёжным паролем считался код от 7 до 14 знаков, состоящий из смеси букв, цифр и символов. Пароли Windows могут содержать до 127 символов, но пользы от этого никакой. Как известно, самым уязвимым звеном безопасности является непосредственно сам пользователь, который не в силах удержать в памяти несколько сложных паролей. Порой, не в силах запомнить и один. До сих пор в большинстве случаев используется известное слово или имя, в лучшем случае снабжённое несколькими дополнительными цифрами. Например, vasilisk2006. Словарные атаки, а также система автоматического подбора всех возможных комбинаций знаков позволяет вскрыть такой пароль максимум за неделю.
Простые советы гражданам не записывать пароли, использовать только новые, не повторяющиеся пароли и прочее, остаются всего лишь советами. Люди как были сто тысяч лет назад ленивыми приматами, так и остались. Дело в самой системе, усовершенствовать которую пытаются уже достаточно давно. Рост сетевых атак по экспоненте сдвинул тело безопасности с мёртвой точки и сегодня мы познакомимся с наработками в области «чтоб ты сдох, проклятый хакер».
Одноразовые пароли
Все гениальное просто. Чтобы сохранить пароль, достаточно использовать его лишь однажды, а в следующий раз воспользоваться уже другим паролем. Данную систему используют Европейские банки. Она получила название
TrancActionNumber. Суть её вот в чём: клиенту присылают (или он сам берёт в банке) карточку на полсотни паролей, залитых защитной краской. Как у нас карточки оплаты сотовых служб. При каждой новой банковской операции через сеть клиент стирает очередную полоску и вводит одноразовый номер аутентификации вкупе с постоянными параметрами – открытым логином и секретным паролем. Когда полоски кончаются, банк присылает клиенту новую карточку.
Другая разновидность данной системы: банк пересылает пароль на сотовый телефон пользователя. Отправляется не само послание, а только линк на WAP страницу с текстом. После открытия у адресата есть меньше минуты для прочтения, после чего текст безвозвратно удаляется, а ссылка теряет актуальность и при по следующих обращениях выдает ошибку. Есть возможность отправлять не только текст, но и графические и голосовые сообщения.
Недостатки: Отдельный пароль могут выкрасть точно так же, правда, воспользуются им лишь однажды. Могут так же украсть и саму карточку или вы её потеряете совершенно случайно. В конце концов вы можете банально не успеть ввести пароль, прежде чем он самоуничтожится. Плюс ко всему система сложнее обычной, но не намного. Есть множество вариантов для её развития. Возможно, в итоге мы получим действительно привлекательную пользовательскую систему. По десяти бальной шкале заслуживает 8.
Биометрические пароли
На сегодняшний день крайне ненадёжное решение. Дактилоскопические сканеры обманывают с лёгкостью при помощи спуфинга – ложного пальца, созданного из стоматологической пасты, пластида и тому подобных материалов. Системы опознавания без особого труда удаётся провести в 80% случаев. Даже с учётом дополнительных параметров – неровности кожи, пот, испарения – не удаётся добиться абсолютной безопасности. Трудности есть и с распознаванием по лицу. Алгоритмы биометрического опознания так и не стали ощутимо лучше, по-прежнему дают порядка 10% сбоев. И это несмотря на оптимальное освещение и стремление проверяемого человека сохранять спокойное выражение на своей физиономии.
Чипы, на которые записываются данные об отпечатках пальцев, сетчатке глаза, геометрии кисти или голосовых параметрах, могут стать неотъемлемой частью паролей уже в ближайшие четыре года, но пока они слишком ненадёжны. Как верно заметил исследователь Лондонской школы экономики Питер Соммер: «Прелесть текстового пароля в том, что вы зависите только от себя».
Недостатки: не будем судить технологию, за которой будущее. Хотим мы того или нет.
Смарт-карта
Преимущество такой системы в том, что она никак не связана с запоминанием пароля. Достаточно провести карточку по специальному сканирующему устройству, встроенному в компьютер, чтобы открыть доступ. Надо так же отметить, что данный метод сводит к нулю возможность акустического и кейлоггерского перехвата информации. Об акустическом способе чуть подробнее. Десятиминутной аудиозаписи звуков, издаваемых кнопками клавиатуры при наборе неизвестного текста, достаточно, чтобы аналитически восстановить больше 90% введенной в компьютер информации. Используемое для акустического перехвата оборудование может быть очень дешевым (исследователи применяли для записи самый обычный десятидолларовый микрофон), но при условии, что сенсор расположен в том же помещении. Если же использовать спецтехнику подслушивания с параболической антенной или дорогой узконаправленный микрофон, то запись можно делать и находясь снаружи здания, через окно. Фишка кроется в алгоритмах анализа данных. Они тоже достаточно просты: допустимое упрощение – вводится английский текст; расположение кнопок на клавиатуре влияет на издаваемые ими звуки – клавиши, похожие по звучанию, можно объединить в классы; отталкиваясь от известных статистических закономерностей английского языка, каждому звуку присваивается вероятное априорное значение буквы с учетом опознания класса; добавляется автоматическая проверка орфографии и грамматики; + дополнительные алгоритмы усовершенствования, аналогичные криптографическим средствам взломом устойчивых шифров. Программ позволяет эффективно восстанавливать не только осмысленный текст, но и произвольные последовательности знаков в паролях (путем быстрого перебора нескольких десятков вариантов), тем самым еще раз подтверждая ненадежность традиционных средств аутентификации.
Недостатки: карточку могут выкрасть, или вы сами её потеряете. Плюс ко всему пароль можно вытащить из кучи программ, да и оперативная память в этом плане очень уязвима, как в Windows, так и в Linux.
Бессознательный пароль 1
Система, разработанная в Иерусалимском университете, позволяет людям использовать такие пароли, которые не надо сознательно помнить. Подобную схему делают возможной особенности человеческой психики, благодаря которым информация заносится в подсознание путем «инстинктивного импринтинга» (пьяный Деймос попытался произнести это в слух и сжёг предохранители мозга). Многочисленные эксперименты показывают, что мозг надежно сохраняет образы картинок, несуществующих «псевдослов» или искусственных грамматических конструкций. По памяти мы не можем в деталях описать то, что инстинктивно запомнили, однако легко узнаем – даже через недели и месяцы – то, что однажды нам было предъявлено.
Такая система состоит из набора сертификатов пользователя, например, четырех картинок. Сначала пользователю показывают последовательность из одной-двух сотен картинок, случайно выбранных из базы объемом порядка 20 тысяч изображений. Все предъявленные картинки разбиты на тематические группы, до десятка штук в каждой. Пользователю «присваивается» по одной картинке из каждой заданной тематической группы, а затем он практикуется (обучается) в выборе «своих» картинок-сертификатов среди всех тематических групп. Как показали опыты, при предъявлении проверочной серии люди способны вспоминать и отмечать «свои» картинки с 90-процентной точностью даже по прошествии трех месяцев. Конечно, и в этой системе для борьбы с перехватом и подделкой данных приходится вводить одноразовые пароли, то есть всякий раз присваивать сертификаты заново. Так что система выглядит пока не очень практичной, однако исследователи надеются года за два довести ее до нужных кондиций.
Недостатки: сложно, не практично, долго. Твёрдая шестёрка за старание.
Бессознательный пароль 2 (Графический пароль 1)
В системе PassPoints при генерации пароля вам показывают картинку, а вы выбираете на ней несколько мест и тыкаете в них мышью. При вводе пароля вам показывают ту же самую картинку, и надо ткнуть в те же самые места. Если пользователь ткнул не совсем точно, система сама определит нечаянная это ошибка или попытка взлома. PassPoints реагирует только на координаты, в которых были сделаны клики, а картинка нужна, чтобы было легче запомнить эти места и при вводе пароля точнее их выбирать. Координаты кликов по картинке сворачиваются в зашифрованную последовательность, которая, по сути, и есть пароль новой системы. Иначе говоря, если у вас твердая рука и верный глаз — можете кликать на чистом белом фоне.
У PassPoints есть свои плюсы и минусы. Если в качестве подложки для «тычков» выбрать большую фотографию со множеством мелких деталей — например, городской пейзаж в высоком разрешении, то даже четыре клика на нем окажутся паролем, легким для запоминания, но очень трудным для грубого взлома. Если же, наоборот, выбрать небольшой портрет себя любимого, с двумя родинками и кольцом в носу, то взломщику не составит труда перебрать наиболее вероятные варианты.
Недостатки: хакеру совершенно без разницы, красть обычный пароль или координаты. Так что преимущество такого метода скорее маркетинговые, чем реальные. Твёрдая 2.
Графический пароль 2
Следующая разработка в этой области обладает практически совершенными свойствами. Так, даже если при наборе этого пароля у вас за спиной будет стоять человек и запоминать все ваши действия и клики — он никогда не сможет зайти на вашу машину вместо вас. Аналогично – если вас снимает камера системы безопасности. Просмотрев видео, никто не сможет восстановить ваш пароль. Как так получается?
При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие.
Представьте: при необходимости ввода пароля система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре «ваши». Думаете, нужно найти их и указать курсором? Как бы не так. Их следует мысленно соединить линиями (получится треугольник или квадрат) и щёлкнуть мышкой в любой точке
внутри этой фигуры. Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие – добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10, 20, сколько хотите раз.
Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров.
При этом уровень секретности обеспечивается высочайший: если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами.
Недостатки: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля. Зато ввод пароля таким способом превращается в некую игру. Оценка – 10. Хотите убедиться сами и опробовать прогу? Двигаем на:
http://www.clam.rutgers.edu/~lsobrado/graphicalpassword.
Заключение
Запомните – в безопасности находится только параноик, который не чувствует себя в безопасности. Если вы не хотите сильно усложнять себе жизнь, воспользуйтесь хотя бы программой PwdHash, которая является дополнением к браузерам и занимается хешированием паролей, для чего пользователям непосредственно перед вводом пароля необходимо ввести @@ или нажать F2. После того как секретная информация зашифрована, PwdHash проверяет имя домена, с которым взаимодействует клиент, и начинает транзакцию только в том случае, если домен не находится в «черном списке». Скачать её можно вот отсюда:
http://crypto.stanford.edu/PwdHash/.
xakep.ru
Трехуровневая система паролей / Habr
Как выяснилось по результатам исследования, проведенного в Великобритании, каждый десятый юзер держит в своей памяти около 50 паролей. Но на этом обнадеживающая статистика заканчивается. Более 60% британцев, оказывается, всегда, везде и повсеместно используют один и тот же пароль. (utro.ru)На мой взгляд самое лучшее использовать 3 уровня паролей.
Этой системой я пользуюсь уже не первый год и вот решил донести до людей.
Извиняюсь если чтото подобное кем то уже писалось…
1. Для критических сервисов (платежные системы, основная почта, аська)
Пароль должен быть сложным и длинным
Пример: NF$H*34gr7d341gT (абсолютно случайная комбинация букв верхнего и нижнего регистра, цифр и спец знаков)Восстановление этого пароля должно быть привязано к тому, до чего у других людей нет доступа. При вводе куда либо этого пароля или данных для его восстановления, стоит 100 раз проверить туда ли вы его вводите.
Этот пароль вы вводите в 5% сервисов где вы зарегистрированы
2. Для важных сервисов (дополнительная почта, регистрация на важных, но не критичных для жизни сайтах, вход в систему на компьютере)
Пароль должен быть длинным но не обязательно особо сложным
Пример: vt[fdjq[jkjlbkmybr (это сочитание означает «мехавойхолодильник» в английской раскладке. в слове «мехавой» для затруднения перебора сделана ошибка)Для восстановления пароля указывается основная почта
Этот пароль вы вводите в 20% сервисов где вы зарегистрированы
3. Для подозрительных и ничего не значащих сервисов (чаты, форумы, системы закладок, регистрация в каталогах, мультимедия порталах)
Пример: superparol (то что очень легко запомнить, что написано у вас на мониторе или на клавиатуре)Для восстановления пароля указывается дополнительная почта
Этот пароль вы вводите в 75% сервисов где вы зарегистрированы
Кроме того для простоты запоминания можно использовать систему увеличивающейся сложности пароля:
3 уровень: ngrdgt
2 уровень: nFh44grdgT
1 уровень: nF$H*34gr7d341gT
В комментариях предлагаю оставить свои варианты создания простой системы паролей.
спасибо что уделили время на прочтение 😉
habr.com
Правила создания и хранения паролей
Сегодня мы начинаем долгожданную серию уроков по информационной безопасности. И начнём с правил создания и хранения сложных и надёжных паролей.
Вы, конечно же, придумали себе пароль, возможно даже не один 🙂 но обязательно прочтите эти правила, убедитесь, что ваш пароль можно назвать сложным и надёжным.
Кто-то скажет «у меня в интернете ничего ценного, поэтому пароль 12345», но ничего хорошего в этом нет, так как вашими данными с радостью воспользуются злоумышленники (например, для того, чтобы выманить деньги с ваших родственников и знакомых):
Мошенник, взломав аккаунт в Skype, пытается заполучить 15000
1. Пароль должен быть сложным!
Все знают, что пароль должен быть достаточно сложным, но что это значит?
- Хороший пароль должен содержать минимум 10 символов, чтобы его было сложно взломать (посчитайте, сколько символов в вашем пароле к социальной сети?)
- Надёжный пароль должен содержать 12 символов и более (ваш пароль на основную почту должен быть именно таким длинным!).
- Сложный пароль должен содержать три набора символов: БОЛЬШИЕ и маленькие буквы, цифры, специальные символы [PochtiSlozhniyParol123%!]
- Пароль должен быть без общедоступной информации (имя, фамилия, ник, важные даты, номера телефонов, ИНН, адреса, как свои, так и родственников — это НЕ для пароля! [MarinaAV1965 – плохой вариант])
- Пароль должен быть без словарных слов и без простых сочетаний слов (используйте малораспространённые слова или вообще несуществующие слова [Абырвалг])
2. Для разных сайтов — разные пароли
Возможно, вы скажете: «Зачем мне столько паролей?»
Давайте посмотрим, зачем это нужно.
- Самое важное в Интернете — это ваш e-mail, так как почти все сервисы в Интернете привязаны к вашей электронной почте. Если кто-то получит доступ к вашей электронной почте, то сможет получить доступ ко всему остальному.
- На малонадёжных сайтах e-mail и пароль лежат рядом! Если такой сайт взломают, первое что сделают — проверят, подходит ли пароль к вашей электронной почте, затем попробуют получить доступ к аккаунту в социальной сети и средствам онлайн-оплаты.
- Злоумышленники продают друг другу базы взломанных аккаунтов, поэтому риск взлома всех ваших аккаунтов резко возрастает.
Как же быть?
Есть простой способ упростить задачу, разделив все сервисы на две группы:
- Для обычных аккаунтов использовать более простые, похожие пароли;
- Для важных аккаунтов (e-mail, интернет-банкинг) использовать сложные, уникальные пароли.
«Хорошо, убедил, но как запомнить такое количество паролей?»
3. Храните пароль надёжно
Память инструмент не самый надёжный, поэтому лучше использовать один из нескольких проверенных способов надёжного хранения паролей.
- Бумажный блокнот — да, даже ведущие специалисты по информационной безопасности признают этот вариант. Вот только храните такой блокнот подальше от любопытных глаз, да и пароли в нём храните в непонятном виде (об этом мы поговорим в следующий раз).
- Менеджер паролей — специальная программа, которая помнит пароли за вас, вам лишь нужно помнить один пароль для доступа к остальной базе.
- Текстовый документ — не самый удачный вариант хранения паролей, но его тоже можно использовать, если вы сможете хранить документ безопасно: в архиве под паролем, но это уже вариант менеджера паролей 🙂
Для каждого способа обязательно используйте резервное копирование!
Как НЕЛЬЗЯ хранить пароли
- На бумажке, прикрепленной к монитору или лежащей на столе под клавиатурой (есть прецеденты государственных масштабов)
- В текстовом документе на рабочем столе (или на флешке, карте памяти телефона и т.д.)
- В браузере тоже не рекомендуется хранить пароли! (Интересно, почему? Отвечу в комментариях)
В новостном репортаже показали пароль французской телесети TV5 Monde
4. Проверьте параметры восстановления пароля
Вашу почту могут попытаться взломать, попытавшись восстановить пароль.
Если у вас для восстановления доступа используется ответ на секретный вопрос, его можно угадать.
- Ответ на секретный вопрос должен быть стойким к угадыванию (используйте неожиданные ответы, например: «Ваш любимый цвет» — «Небо»)
Если же для восстановления используется второй e-mail, все правила из этой статьи тоже должны относиться к нему.
- E-mail для восстановления должен быть надёжно защищён (проверьте параметры безопасности сейчас, не откладывайте)
5. Используйте двухфакторную аутентификацию
Для важных аккаунтов используйте двухэтапную или двухфакторную аутентификацию.
Например, вы вводите пароль, а с помощью телефона получаете дополнительный одноразовый код для доступа к онлайн-сервису (это может быть SMS или сгенерированный в приложении код).
В этом случае взломать ваш аккаунт будет значительно сложнее.
Заключение
Сегодня мы познакомились с пятью правилами, благодаря которым теперь знаем, что такое сложный и надёжный пароль.
Зная правила, можно приступать к созданию сложного пароля, а как его не забыть, я расскажу в следующем уроке.
Автор: Сергей Бондаренко http://it-uroki.ru/
Копирование запрещено, но можно делиться ссылками:
Поделитесь с друзьями:
Понравились IT-уроки?
Все средства идут на покрытие текущих расходов (оплата за сервер, домен, техническое обслуживание)и подготовку новых обучающих материалов (покупка необходимого ПО и оборудования).
Много интересного в соц.сетях:
it-uroki.ru
Как создать и запомнить надёжный пароль
Большинство злоумышленников не заморачиваются с изощрёнными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с четырёх попыток.
Как такое возможно? Очень просто. Вы пробуете четыре самые распространённые в мире комбинации: password, 123456, 12345678, qwerty. После такого прохода в среднем открывается 1% всех «ларчиков».
Допустим, вы попадаете в те 99% пользователей, чей пароль не столь прост. Даже в таком случае необходимо считаться с производительностью современного программного обеспечения для взлома.
Бесплатная программа John the Ripper, находящаяся в свободном доступе, позволяет проверять миллионы паролей в секунду. Отдельные образцы специализированного коммерческого ПО заявляют о мощности в 2,8 миллиарда паролей в секунду.
Изначально программы для взлома прогоняют список из статистически наиболее распространённых комбинаций, а затем обращаются к полному словарю. С течением времени тенденции пользователей в выборе паролей могут слегка меняться, и эти изменения учитываются при обновлении таких списков.
Со временем всевозможные веб-сервисы и приложения решили принудительно усложнить пароли, создаваемые пользователями. Добавились требования, согласно которым пароль должен иметь определённую минимально длину, содержать цифры, верхний регистр и специальные символы. Некоторые сервисы отнеслись к этому настолько серьёзно, что придумывать пароль, который приняла бы система, приходится реально долго и нудно.
Ключевая проблема в том, что практически любой пользователь не генерирует действительно устойчивый к подбору пароль, а лишь пытается по минимуму удовлетворить требования системы к составу пароля.
В результате получаются пароли в стиле password1, password123, Password, PaSsWoRd, password! и невероятно непредсказуемый p@ssword.
Представьте, что вам нужно переделать пароль spiderman. С большой вероятностью он примет вид наподобие $pider_Man1. Оригинально? Тысячи людей изменят его по такому же, либо очень схожему алгоритму.
Если взломщик знает эти минимальные требования, то ситуация лишь усугубляется. Именно по этой причине навязанное требование к усложнению паролей далеко не всегда обеспечивает лучшую безопасность, а зачастую создаёт ложное чувство повышенной защищённости.
Чем легче пароль для запоминания, тем более вероятно его попадание в словари программ-взломщиков. В итоге получается так, что действительно надёжный пароль просто невозможно запомнить, а значит, его нужно где-то фиксировать.
По мнению экспертов, даже в нашу эпоху цифровых технологий люди по-прежнему могут полагаться на листочек бумаги с записанными на нём паролями. Такой лист удобно держать в скрытом от посторонних глаз месте, например в кошельке или бумажнике.
Впрочем, лист с паролями не решает проблему. Длинные пароли тяжело не только помнить, но и вводить. Ситуацию усугубляют виртуальные клавиатуры мобильных устройств.
Взаимодействуя с десятками сервисов и сайтов, многие пользователи оставляют за собой вереницу идентичных паролей. Они пытаются использовать один и тот же пароль для каждого сайта, полностью игнорируя риски.
В данном случае некоторые сайты выступают в роли няньки, принуждая усложнять комбинацию. В итоге пользователь просто не может вспомнить, каким образом ему пришлось видоизменить свой стандартный единый пароль для данного сайта.
Масштаб проблемы получилось полностью осознать в 2009 году. Тогда из-за дыры в безопасности хакеру удалось украсть базу логинов и паролей RockYou.com — компании, издающей игры на Facebook. Злоумышленник поместил базу в открытый доступ. Всего в ней содержалось 32,5 миллиона записей с именами пользователей и паролями к аккаунтам. Утечки случались и ранее, но масштабность именно этого события показала картину целиком.
Самым популярным паролем на RockYou.com оказалась комбинация 123456. Её использовали почти 291 000 людей. Мужчины до 30 лет чаще предпочитали сексуальную тематику и пошлости. Более взрослые люди обоих полов зачастую обращались к той или иной сфере культуры при выборе пароля. Например, Epsilon793 кажется не таким уж плохим вариантом, вот только эта комбинация была в Star Trek. Семизначный 8675309 встречался много раз, потому что этот номер фигурировал в одной из песен Tommy Tutone.
На самом деле создание надёжного пароля — задача простая, достаточно составить комбинацию из случайных символов.
Вы не сможете создать идеально случайную комбинацию в математическом понимании в своей голове, но от вас это и не требуется. Существуют специальные сервисы, генерирующие действительно случайные комбинации. К примеру, random.org может создавать такие пароли:
- mvAWzbvf;
- 83cpzBgA;
- tn6kDB4T;
- 2T9UPPd4;
- BLJbsf6r.
Это простое и изящное решение, особенно для тех, кто использует менеджер для хранения паролей.
К сожалению, большинство пользователей продолжают использовать простые ненадёжные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.
Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на 3 большие категории:
- Случайные, при которых пароль пытается узнать знакомый вам человек, опираясь на известную ему информацию о вас. Зачастую такой взломщик хочет лишь подшутить, узнать что-то о вас либо подгадить.
- Массовые атаки, когда жертвой может стать абсолютно любой пользователь тех или иных сервисов. В данном случае используется специализированное ПО. Для атаки выбираются наименее защищённые сайты, позволяющие многократно вводить варианты пароля за короткий промежуток времени.
- Целенаправленные, сочетающие в себе получение наводящих подсказок (как в первом случае) и использование специализированного ПО (как при массовой атаке). Здесь речь идёт о попытке заполучить действительно ценную информацию. Защититься поможет только достаточно длинный случайный пароль, на подбор которого уйдёт время, сравнимое с длительностью вашей жизни.
Как видите, жертвой может стать абсолютно любой человек. Утверждения типа «мой пароль не будут красть, потому что я никому я нужен» не актуальны, потому что вы можете попасть в подобную ситуацию совершенно случайно, по стечению обстоятельств, без каких-либо видимых причин.
Еще серьёзнее стоит относиться к защите паролей тем, кто обладает ценной информацией, связан с бизнесом либо находится с кем-то в конфликте на финансовой почве (например, раздел имущества в процессе развода, конкуренция в бизнесе).
В 2009 году Twitter (в понимании всего сервиса) был взломан лишь потому, что администратор использовал в качестве пароля слово happiness. Хакер подобрал его и разместил на сайте Digital Gangster, что привело к угону аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.
Акронимы
Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надёжные комбинации, которые можно без проблем запомнить?
На данный момент наилучшим сочетанием надёжности и удобства является конвертация фразы или словосочетания в пароль.
Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.
Однако, поскольку в качестве изначальных фраз будут использоваться самые известные, программы со временем получат эти акронимы в свои списки. Фактически акроним содержит только буквы, а потому объективно менее надёжен, чем случайная комбинация символов.
Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то шутки и высказывания, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте её.
И всё равно вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определённых букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.
Обратный способ
Выходом может стать обратный способ генерации. Вы создаёте в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.
Часто сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит чуть приглядеться, и становится очевидно: пароль помнить и не нужно. Для примера возьмём очередной вариант с random.org — RPM8t4ka.
Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые три буквы в нём заглавные, а следующие три — строчные. 8 — это дважды (по-английски twice — t) 4. Посмотрите немного на этот пароль, и вы обязательно найдёте собственные ассоциации с предложенным набором букв и цифр.
Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.
Случайный пароль — это золотой стандарт в информационной безопасности. Он по определению лучше, чем любой пароль, придуманный человеком.
Минус акронимов в том, что со временем распространение такой методики снизит её эффективность, а обратный метод останется столь же надёжным, даже если все люди земли будут использовать его тысячу лет.
Случайный пароль не попадёт в список популярных комбинаций, а злоумышленник, использующий метод массовой атаки, подберёт такой пароль только брутфорсом.
Берём несложный случайный пароль, учитывающий верхний регистр и цифры, — это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62 ^ 8 = 218 триллионов вариантов.
Даже если количество попыток в течение определённого временного промежутка не ограничено, самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор нужной комбинации. Для уверенности добавляем в такой пароль всего 1 дополнительный символ — и на его взлом понадобятся уже многие годы.
Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом.
Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.
Единая надёжная основа
Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса надёжности и удобства хорошо покажет себя «философия одного надёжного пароля».
Принцип заключается в том, что вы используете одну и ту же основу — супернадёжный пароль (его вариации) на самых важных для вас сервисах и сайтах.
Запомнить одну длинную и сложную комбинацию по силам каждому.
Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищён.
Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов — им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечёт каких-то фатальных последствий.
Понятно, что надёжную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka.
Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему банковскому аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.
Секретный вопрос
Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите восстановить его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.
В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент ещё и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?».
Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.
Вы уже догадались о сути.
Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные.
Вопрос даже не в том, что эту информацию можно аккуратно выудить в интернете или у приближённых персоны. Ответы на вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.
В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991.
Впрочем, подобный приём, если найдёт широкое распространение, будет учтён в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.
На самом деле нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос нестандартный, а ответ на него известен только вам и не угадывается с трёх попыток, то всё в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.
PIN
Personal Identification Number (PIN) — дешёвый замок, которому доверены наши деньги. Никто не беспокоится о том, чтобы создать более надёжную комбинацию хотя бы из этих четырёх цифр.
А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?
По оценкам Ника Берри, 11% населения США использует в качестве PIN-кода (там, где есть возможность самому его изменить) комбинацию 1234.
Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленькую длину кода).
Берри взял списки появлявшихся после утечек в сети паролей, представляющих собой комбинации из четырёх цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так. Второй по популярности PIN — это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).
Предположим, что у знающего эту информацию человека в руках чья-то банковская карта. Три попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шансов угадать PIN, если он последовательно введёт 1234, 1111 и 0000.
Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами.
Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.
Часто PIN представляет собой какой-то год (год рождения или историческая дата).
Многие любят делать PIN в виде повторяющихся пар цифр (причём особо популярны пары, где первая и вторая цифры отличаются на единицу).
Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 — для её набора достаточно сделать прямой проход сверху вниз по центру.
В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.
Итог
- Зайдите на random.org и создайте там 5–10 паролей-кандидатов.
- Выберите пароль, который вы сможете превратить в запоминающуюся фразу.
- Используйте эту фразу для того, чтобы вспомнить пароль.
Читайте также:
lifehacker.ru
Генератор паролей, сгенерировать пароль
Генератор паролей создает пароли в реальном времени. Созданные пароли нигде не сохраняются и отображаются только на Вашем устройстве (ПК, планшете или смартфоне).
Каждый раз при изменении настроек, нажатии кнопки «Сгенерировать» или перезагрузке страницы создаются новые пароли.
«По умолчанию» для генерации паролей используются английские строчные и заглавные буквы, цифры и некоторые служебные символы. Для изменения списка символов используйте «Настройки генератора паролей»
Настройки генератора паролей
Длина пароля
Генератор паролей создает пароли длиной от 5 до 30 символов. Изначально генерируются пароли длиной 10 символов. Вообще, не рекомендуется использовать пароли длиной меньше 7 символов.
Использование более длинных паролей рекомендуется для более стойкой защиты от взлома, но скорее всего будет неудобно для сохранения или запоминания.
Английские и русские буквы
Традиционно, для паролей используются английские (латинские) буквы, однако, можно использовать и русские.
Русские буквы значительно повышают сложность паролей при попытке взлома путем перебора, но будьте осторожны, возможно, некоторые системы не поддерживают пароли, в
составе которых есть кириллица. Рекомендуется предварительно проверить.
Цифры
Цифры в пароле должны быть обязательно. Наличие цифр в пароле улучшает качество пароля, при этом пароли с цифрами легче запоминаются.
Специальные символы
Пароли, в состав которых входят специальные символы, наиболее стойкие к взлому. Многие системы при регистрации требуют, чтобы в состав пароля обязательно входили служебные символы.
Рекомендуем не пренебрегать использованием подобных символов и включать их в состав генерируемого пароля.
Исключения
Русские символы похожие на английские и английские символы похожие на русские
Если при использовании генератора паролей онлайн Вы используете как английские, так и русские буквы, можете столкнуться с проблемой визуальной «похожести» некоторых английских и русских символов.
Такие буквы как А и A, B и В, С и C, E и Е (а, ай, вэ, би, эс, си, е, и) — это разные буквы, хотя и выглядят одинаково. Для того чтобы избежать путаницы при последующем использовании паролей, воспользуйтесь соответствующим
пунктом настроек.
Исключить гласные или исключить согласные
Используйте эти пункты дополнительных настроек если хотите исключить гласные или согласные буквы при генерации паролей.
Исключить похожие символы
Посмотрите на символы I, l, 1, | (ай, эль, единица, вертикальная черта). Такие буквы, символы и цифры очень похожи при написании, поэтому могут возникнуть ошибки при сохранении
и последующем использовании пароля. Для того чтобы исключить подобные ошибки, воспользуйтесь этим пунктом настроек.
Другие настройки
Список используемых символов
В окне списка используемых символов генератора паролей находятся все те символы, из которых составляются пароли с учетом текущих настроек. Список можно редактировать — удалять ненужные и добавлять
необходимые Вам символы. При удалении или добавлении символов в окне редактирования списка, автоматически генерируются новые пароли, с учётом произведенных изменений.
Сбросить настройки
Все настройки, произведенные в процессе использования генератора паролей, автоматически сохраняются в памяти (cookies) Вашего браузера. Сохраняются именно настройки, но не пароли! Как уже
упоминалось выше — пароли каждый раз генерируются новые. Для того чтобы сбросить настройки в первоначальное состояние, используйте ссылку «Сбросить настройки». При сбросе автоматически
генерируются новые пароли с учетом первоначальных настроек.
Ссылка на генератор паролей
Если хотите отправить ссылку на «Генератор паролей» другу или опубликовать в социальных сетях, скопируйте адрес из специального окна находящегося в нижней части корпуса генератора.
Вместе с ссылкой передаются и выбранные Вами настройки.
calculator888.ru
Как сделать пароль надежным и запоминающимся / ua-hosting.company corporate blog / Habr
Пароли стоят на страже наших данных. И степень их надежности играет важную роль. Понятно, что сложный пароль и взломать будет непросто. Вот только личных счетов и систем, требующих авторизацию, очень много. И помнить десятки, если не сотни различных комбинаций из символов — практически невозможно.Как сделать пароль более надежным и при этом его не забыть? Есть несколько вариантов…
Шифр простой замены
Шифры замены — класс методов шифрования, существующий практически столько же, сколько и алфавит. Его суть состоит в замене букв другими буквами, числами или символами (отсылка к криптографии).
Не углубляясь в особенности и тонкости шифра, можно выбрать самый простой метод шифрования — тот, где заменяется каждая буква следующей за ней в алфавите. Для примера возьмем слова «cat» и «dog». Зашифровываем: за с в алфавите идет d (c=d), за a будет b (a=b), ну и за t следует u (t=u). Ta же формула и для второго слова: d=e, o=p, g=h. В результате получаем два шифра — dbu и eph.
Шифр простой замены букв (через две)
Шифр простой замены нельзя назвать очень уж надежным. Его совсем не сложно взломать, если сопоставить несколько зашифрованных предложений или знать принципы использования. Но можно поэкспериментировать и разнообразить метод. Например, задать собственный порядок замены букв, добавить числа и т.д.
Один из вариантов шифрования, описанного в рассказе Конана Дойля «Пляшущие человечки»
Мнемонический код
Можно воспользоваться излюбленным методом фокусников и магов — мнемоникой. Она помогает визуализировать объект с помощью его полного описания, упрощая тем самым запоминание или идентификацию. Подобный принцип используется в известной поговорке про цвета радуги: «Каждый (Красный) охотник (Оранжевый) желает (Желтый) знать (Зеленый), где (Голубой) сидит (Синий) фазан (Фиолетовый)».
В упрощенном виде все выглядит примерно так: «а — это ананас, б — это банан, в — это вишня». Для построения пароля, используйте слова, соответствующие буквам.
Запоминание последовательности цветов радуги
Например, нужно создать пароль для сайта bank.com. Возьмем за основу код из первых двух букв от названия веб-ресурса «b» и «a». Согласно конструкции «b is for banana, a is for apple» получится «bananaapple». Добавьте между ними дефис и пароль приобретет еще и необходимый символ. А если объединить это все с шифром простой замены, пароль для bank.com станет по-истине надежным nsmsms=s[[;r.
Название сайта в конце пароля
Технический директор компании по сетевой безопасности Panda Security Луис Корронс предлагает следующий вариант:
Чтобы сделать пароль уникальным для каждого сайта (без необходимости его записывать) можно добавить название веб-ресурса в его конец.
Рассмотрим подробнее на примере все того же сайта bank.com. К выбранному паролю в конце добавим приставку «-bank». Получится более сложная конструкция, делающая пароль и понятным и сложным. Тоже самое проделываем с учетными записями в социальных сетях «-twitter», «-facebook» и «-linkedin» или сокращенные варианты вроде «-twit», «-face» и «-link».
Временные рамки
Есть компании, которые вынуждают своих клиентов менять пароли раз в полгода или год. Тут тоже можно найти решение. Просто добавляйте необходимый год, квартал к началу или концу пароля. Возьмем за основу уже знакомый пароль «banana», добавим к нему наступающий 2016 год и 1-й квартал. Получается banana-16-q1. А если произвести перемещения всего по одному ключу на клавиатуре, пароль существенно усложнится и обретет вид nsmsms=3-25=j3.
И вот — наш уникальный пароль, довольно сложный, надежный, который можно запомнить и без особого труда регулярно изменять (по месяцам или годам).
Размер имеет значение
Помимо шифровки стоит поговорить и о качестве самого пароля. Его длина имеет важное значение. Полный набор включает 26 строчных букв, 26 прописных и 10 цифр. Также в пароле может использоваться приблизительно 30 специальных знаков. Это все говорит о том, что для каждого символа, добавленного к паролю, число возможных вариантов увеличивается в 90 раз.
По словам генерального директора фирмы сетевой безопасности FlowTraq Винсента Берка:
Большинство веб-сайтов и компаний нуждаются в паролях, которые насчитывают комбинацию как минимум из 10 символов нижнего и верхнего регистра, при этом включают число и один или несколько специальных знаков
В последнее время специалисты по безопасности рекомендуют увеличивать длину пароля вообще до двенадцати знаков. По их мнению 12 — минимум. Данная теория сформировалась на основе исследования, которое было проведено в Технологическом институте (штат Джорджия, США). Исследователи использовали группы видеокарт, чтобы взломать восьмизначные пароли и пришли к выводу, что для этого достаточно двух-трех часов. Для взлома были задействованы графические процессоры — системные компоненты, разработанные для удовлетворения потребностей современных геймеров.
Пароли из семи символов квалифицируются, как «безнадежно несоответствующие». Исследователи, занимающиеся вопросами безопасности данных, пришли к заключению, что на взлом паролей из двенадцати символов с современными технологиями уйдет около 17,000 лет. Правда, технологическое развитие настолько стремительно, что сложно давать точные прогнозы.
Оригинальность пароля
Разумеется, не одна только длина делает пароль надежным. Он не должен быть легким для угадывания или предсказуемым. Например, пароль LadyGaga — хорош только для преданного поклонника или для самой певицы. Набор цифр 1234567890 тоже не пойдет — слишком очевидно, что даже ребенок может его взломать, набирая подряд все десять цифр на клавиатуре. Ненадежной будет и комбинация из серии password1234, пусть даже она состоит из двенадцати символов.
Стоит придумывать сложные и не распространенные пароли. Лучше избегать слов, которые можно найти в словарях любого языка. Популярные замены букв числами (0 вместо «o», 4 вместо «a») не играют особой роли. Не желательно повторять один и тот же пароль много раз. Хотя именно это и делают пользователи, согласно ноябрьскому исследованию RSA 69%. Результаты продемонстрировали, что потребители многократно используют однажды придуманный ими пароль (при том, что почти 50% из них были жертвами атак со стороны хакеров).
Предложения-подсказки
Большинство экспертов по безопасности сходятся во мнении, что пароли должны быть легко запоминающимися, но трудно угадываемыми. Слишком сложные и непонятные комбинации из символов попросту забудутся. А записывать пароли на стикерах, бумажках, в блокнотах или где-то еще — не самая удачная идея. Тут уж лучше ограничится подсказкой, понятной только хозяину, но не кому-то другому.
Один из параметров, делающий пароль более сложным, состоит в том, чтобы использовать действительно жесткие конструкции. Вряд ли кто-то сможет запомнить набор из двадцати знаков, вроде GdzIQaZyVaFgbh7dlu46. Фактически, такие пароли довольно «болезненно» использовать вообще. С другой стороны, их в самом деле будет трудно взломать. Подобные пароли хороши для систем, требующих особой безопасности и не используемых часто.
В качестве пароля можно использовать фразу, предварительно кодируя ее. Например на английском «I want to be at the beach» в кодировке может выглядеть, как iw2b@theBeach. Запоминающийся пароль, который будет достаточно сложным для взлома. Под каждую систему возможно подобрать различное окончание. Некоторые системы позволяют даже использовать полные предложение в качестве паролей. Такие пароли не забудутся и будут довольно надежными.
В целях повышения безопасности данных известным облачным хранилищем данных Dropbox был создан список из паролей, которые запрещено использовать. В списке находится около 85100 паролей.
А Университет Южного Уэльса провел исследования, результаты которого показали, что:
4,7% пользователей используют пароль password;
8,5% пользователей выбирают один из двух вариантов: password или 123456;
9,8% пользователей выбирают один из трёх вариантов: password, 123456 или 12345678;
14% пользователей выбирают один из 10 самых популярных паролей;
40% пользователей выбирают один из 100 самых популярных паролей;
79% пользователей выбирают один из 500 самых популярных паролей;
91% пользователей выбирает один из 1 000 самых популярных паролей.
password
123456
12345
12345678
qwerty
123456789
1234
baseball
dragon
football
pussy
1234567
monkey
letmein
abc123
111111
mustang
access
shadow
master
michael
superman
696969
123123
batman
habr.com
Не используйте такой пароль, взламывается мгновенно
|
www.ph4.ru