Система пароли: Стратегия Пароли в букмекерских конторах

Содержание

Системы для игры в рулетку - Пароли

Принцип системы Пароли полностью противоположен системи Мартингейла. Основа Пароли – это когда играешь на деньги казино, надеясь на удачный исход. Безусловно эта стратегия увлекает, но запомни, что как и все подобные принципы, Пароли не уменьшит отрицательного математического ожидание.

Практическое приминение системы Пароли:

Сперва необходимо выбрать игру. Рулетка и Крэпс – идеальный выбор, так как в этих играх имеются ставки для простых шансов, с выплатами один к одному. Сразу после того как определишься с игрой, нужно решить, какая будет сумма начальной ставки и какой выигрыш намерен забрать.

Скажем, начальной ставкой выберем $5 и собираемся выигрывать 3 раза. Наглядно мы имеем следующее:

Когда пройдет три выигрыша подряд, серия должна начинаться заново :

Здесь наглядно показано , самый худший вариант на любом из этапов игры, это когда проигрывается первоначальная ставка $5, что намного меньше и не так опасно, в отличии от полного банкротства.

Проблемные моменты системы Пароли:

Принцип системы Пароли не дает гарантий на 100%- ый выигрыш, нужно четко знать, что ни какая система не уберет преимущество казино онлайн — игровой зал постоянно остается с позитивным математическим ожиданием, ставя перед игроком постоянный барьер перед победой.

Приверженцы данной системы убеждены, что с помощью нее можно сколотить хороший выигрыш. Допустим, тебе выпадает удачная серия, и сводит на минимум потери в результате проигрыша. Простая истина в том, что нет никакой «удачной серии». Каждый запуск шарика – это новое независимое событие, и нет разницы, что выпадало ход или несколько назад.

Новые системы паролей — «Хакер»

Прошли те времена, когда надёжным паролем считался код от 7 до 14 знаков, состоящий из смеси букв, цифр и символов. Пароли Windows могут содержать до 127 символов, но пользы от этого никакой. Как известно, самым уязвимым звеном безопасности является непосредственно сам пользователь, который не в силах удержать в памяти несколько сложных паролей. Порой, не в силах запомнить и один. До сих пор в большинстве случаев используется известное слово или имя, в лучшем случае снабжённое несколькими дополнительными цифрами. Например, vasilisk2006. Словарные атаки, а также система автоматического подбора всех возможных комбинаций знаков позволяет вскрыть такой пароль максимум за неделю. 

Простые советы гражданам не записывать пароли, использовать только новые, не повторяющиеся пароли и прочее, остаются всего лишь советами. Люди как были сто тысяч лет назад ленивыми приматами, так и остались. Дело в самой системе, усовершенствовать которую пытаются уже достаточно давно. Рост сетевых атак по экспоненте сдвинул тело безопасности с мёртвой точки и сегодня мы познакомимся с наработками в области «чтоб ты сдох, проклятый хакер». 

Одноразовые пароли

Все гениальное просто. Чтобы сохранить пароль, достаточно использовать его лишь однажды, а в следующий раз воспользоваться уже другим паролем. Данную систему используют Европейские банки. Она получила название
TrancActionNumber. Суть её вот в чём: клиенту присылают (или он сам берёт в банке) карточку на полсотни паролей, залитых защитной краской. Как у нас карточки оплаты сотовых служб. При каждой новой банковской операции через сеть клиент стирает очередную полоску и вводит одноразовый номер аутентификации вкупе с постоянными параметрами – открытым логином и секретным паролем. Когда полоски кончаются, банк присылает клиенту новую карточку.

Другая разновидность данной системы: банк пересылает пароль на сотовый телефон пользователя. Отправляется не само послание, а только линк на WAP страницу с текстом. После открытия у адресата есть меньше минуты для прочтения, после чего текст безвозвратно удаляется, а ссылка теряет актуальность и при по следующих обращениях выдает ошибку. Есть возможность отправлять не только текст, но и графические и голосовые сообщения.

Недостатки: Отдельный пароль могут выкрасть точно так же, правда, воспользуются им лишь однажды. Могут так же украсть и саму карточку или вы её потеряете совершенно случайно. В конце концов вы можете банально не успеть ввести пароль, прежде чем он самоуничтожится. Плюс ко всему система сложнее обычной, но не намного. Есть множество вариантов для её развития. Возможно, в итоге мы получим действительно привлекательную пользовательскую систему. По десяти бальной шкале заслуживает 8.

Биометрические пароли

На сегодняшний день крайне ненадёжное решение. Дактилоскопические сканеры обманывают с лёгкостью при помощи спуфинга – ложного пальца, созданного из стоматологической пасты, пластида и тому подобных материалов. Системы опознавания без особого труда удаётся провести в 80% случаев. Даже с учётом дополнительных параметров – неровности кожи, пот, испарения – не удаётся добиться абсолютной безопасности. Трудности есть и с распознаванием по лицу. Алгоритмы биометрического опознания так и не стали ощутимо лучше, по-прежнему дают порядка 10% сбоев. И это несмотря на оптимальное освещение и стремление проверяемого человека сохранять спокойное выражение на своей физиономии. 

Чипы, на которые записываются данные об отпечатках пальцев, сетчатке глаза, геометрии кисти или голосовых параметрах, могут стать неотъемлемой частью паролей уже в ближайшие четыре года, но пока они слишком ненадёжны. Как верно заметил исследователь Лондонской школы экономики Питер Соммер: «Прелесть текстового пароля в том, что вы зависите только от себя».

Недостатки: не будем судить технологию, за которой будущее. Хотим мы того или нет. 

Смарт-карта

Преимущество такой системы в том, что она никак не связана с запоминанием пароля. Достаточно провести карточку по специальному сканирующему устройству, встроенному в компьютер, чтобы открыть доступ. Надо так же отметить, что данный метод сводит к нулю возможность акустического и кейлоггерского перехвата информации. Об акустическом способе чуть подробнее. Десятиминутной аудиозаписи звуков, издаваемых кнопками клавиатуры при наборе неизвестного текста, достаточно, чтобы аналитически восстановить больше 90% введенной в компьютер информации. Используемое для акустического перехвата оборудование может быть очень дешевым (исследователи применяли для записи самый обычный десятидолларовый микрофон), но при условии, что сенсор расположен в том же помещении. Если же использовать спецтехнику подслушивания с параболической антенной или дорогой узконаправленный микрофон, то запись можно делать и находясь снаружи здания, через окно. Фишка кроется в алгоритмах анализа данных.

Они тоже достаточно просты: допустимое упрощение – вводится английский текст; расположение кнопок на клавиатуре влияет на издаваемые ими звуки – клавиши, похожие по звучанию, можно объединить в классы; отталкиваясь от известных статистических закономерностей английского языка, каждому звуку присваивается вероятное априорное значение буквы с учетом опознания класса; добавляется автоматическая проверка орфографии и грамматики; + дополнительные алгоритмы усовершенствования, аналогичные криптографическим средствам взломом устойчивых шифров. Программ позволяет эффективно восстанавливать не только осмысленный текст, но и произвольные последовательности знаков в паролях (путем быстрого перебора нескольких десятков вариантов), тем самым еще раз подтверждая ненадежность традиционных средств аутентификации. 

Недостатки: карточку могут выкрасть, или вы сами её потеряете. Плюс ко всему пароль можно вытащить из кучи программ, да и оперативная память в этом плане очень уязвима, как в Windows, так и в Linux.  

Бессознательный пароль 1

Система, разработанная в Иерусалимском университете, позволяет людям использовать такие пароли, которые не надо сознательно помнить. Подобную схему делают возможной особенности человеческой психики, благодаря которым информация заносится в подсознание путем «инстинктивного импринтинга» (пьяный Деймос попытался произнести это в слух и сжёг предохранители мозга). Многочисленные эксперименты показывают, что мозг надежно сохраняет образы картинок, несуществующих «псевдослов» или искусственных грамматических конструкций. По памяти мы не можем в деталях описать то, что инстинктивно запомнили, однако легко узнаем – даже через недели и месяцы – то, что однажды нам было предъявлено.

Такая система состоит из набора сертификатов пользователя, например, четырех картинок. Сначала пользователю показывают последовательность из одной-двух сотен картинок, случайно выбранных из базы объемом порядка 20 тысяч изображений. Все предъявленные картинки разбиты на тематические группы, до десятка штук в каждой. Пользователю «присваивается» по одной картинке из каждой заданной тематической группы, а затем он практикуется (обучается) в выборе «своих» картинок-сертификатов среди всех тематических групп. Как показали опыты, при предъявлении проверочной серии люди способны вспоминать и отмечать «свои» картинки с 90-процентной точностью даже по прошествии трех месяцев. Конечно, и в этой системе для борьбы с перехватом и подделкой данных приходится вводить одноразовые пароли, то есть всякий раз присваивать сертификаты заново. Так что система выглядит пока не очень практичной, однако исследователи надеются года за два довести ее до нужных кондиций. 

Недостатки: сложно, не практично, долго. Твёрдая шестёрка за старание.

Бессознательный пароль 2 (Графический пароль 1) 

В системе PassPoints при генерации пароля вам показывают картинку, а вы выбираете на ней несколько мест и тыкаете в них мышью. При вводе пароля вам показывают ту же самую картинку, и надо ткнуть в те же самые места. Если пользователь ткнул не совсем точно, система сама определит нечаянная это ошибка или попытка взлома. PassPoints реагирует только на координаты, в которых были сделаны клики, а картинка нужна, чтобы было легче запомнить эти места и при вводе пароля точнее их выбирать. Координаты кликов по картинке сворачиваются в зашифрованную последовательность, которая, по сути, и есть пароль новой системы. Иначе говоря, если у вас твердая рука и верный глаз - можете кликать на чистом белом фоне.

У PassPoints есть свои плюсы и минусы. Если в качестве подложки для «тычков» выбрать большую фотографию со множеством мелких деталей - например, городской пейзаж в высоком разрешении, то даже четыре клика на нем окажутся паролем, легким для запоминания, но очень трудным для грубого взлома. Если же, наоборот, выбрать небольшой портрет себя любимого, с двумя родинками и кольцом в носу, то взломщику не составит труда перебрать наиболее вероятные варианты.

Несомненно, такой графический пароль могли бы внедрить у себя сетевые сервисы, кровно заинтересованные в максимально простой, но надежной авторизации. Например, платежным системам не помешает предоставить клиентам выбор - закрывать кошелек кодовым словом или кликами по картинке. 

Недостатки: хакеру совершенно без разницы, красть обычный пароль или координаты. Так что преимущество такого метода скорее маркетинговые, чем реальные. Твёрдая 2. 

Графический пароль 2

Следующая разработка в этой области обладает практически совершенными свойствами. Так, даже если при наборе этого пароля у вас за спиной будет стоять человек и запоминать все ваши действия и клики - он никогда не сможет зайти на вашу машину вместо вас. Аналогично – если вас снимает камера системы безопасности. Просмотрев видео, никто не сможет восстановить ваш пароль. Как так получается? 

При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие. 

Представьте: при необходимости ввода пароля система выдаёт на экран сразу огромное панно из иконок, перемешанных случайным образом. Среди них обязательно будут три или четыре «ваши». Думаете, нужно найти их и указать курсором? Как бы не так. Их следует мысленно соединить линиями (получится треугольник или квадрат) и щёлкнуть мышкой в любой точке
внутри этой фигуры. Тут же иконки перестраиваются, перемешиваются. Одни при этом исчезают, другие – добавляются. И опять среди всего этого хаоса вы видите и какие-либо свои значки из той самой десятки (не обязательно те, что были на экране только что). Снова вы мысленно соединяете их в геометрическую фигуру и щёлкаете в любом месте, но опять-таки в её границах. И так происходит 10, 20, сколько хотите раз. 

Вообще система предусматривает при создании пароля выбор настроек: числа иконок, скорость их перемещения, числа кликов по фигурам и некоторых других параметров.
Лишь после 10 таких проходов машина однозначно идентифицирует иконки, которые вы мысленно держали в голове, выбирая место для щелчка. Но любой, кто будет за вами наблюдать, ни за что не угадает ваш пароль. Главная идея – позволить пользователю доказать знание им пароля, не показывая сам пароль в процессе его набора. Вопрос изменяется каждый раз и ответ – так же.
При этом уровень секретности обеспечивается высочайший: если вы имеете достаточно многого изображений, и если вы должны пройти тест достаточно много раз, возможные комбинации иконок исчисляются миллиардами.

Недостатки: для входа в систему требуется значительно больше времени, чем на традиционный набор пяти-шести букв в окошке пароля. Зато ввод пароля таким способом превращается в некую игру. Оценка – 10. Хотите убедиться сами и опробовать прогу? Двигаем на:
http://www.clam.rutgers.edu/~lsobrado/graphicalpassword.

Заключение

Запомните – в безопасности находится только параноик, который не чувствует себя в безопасности. Если вы не хотите сильно усложнять себе жизнь, воспользуйтесь хотя бы программой PwdHash, которая является дополнением к браузерам и занимается хешированием паролей, для чего пользователям непосредственно перед вводом пароля необходимо ввести @@ или нажать F2. После того как секретная информация зашифрована, PwdHash проверяет имя домена, с которым взаимодействует клиент, и начинает транзакцию только в том случае, если домен не находится в «черном списке». Скачать её можно вот отсюда:
http://crypto.stanford.edu/PwdHash/.

Защита паролей привилегированных записей

Полномочия на управление или настройку целевых ресурсов и приложений привязаны к соответствующим учетным записям. При «классическом» подходе пароли или другие аутентификаторы от таких привилегированных учетных записей выдаются уполномоченным на это сотрудникам - привилегированным пользователям.

Среди этих полномочий могут присутствовать права на:

  • Очистку журналов
  • Установку дополнительного ПО
  • Выполнение критических и опасных операций, способных нарушить работоспособность ресурса
  • И другие.

Эти права часто доступны привилегированным пользователям без какого-либо контроля. Такая практика несет в себе угрозы неправомерного или некорректного использования выданных полномочий.

Сложность контроля за действиями привилегированных пользователей состоит в получении привилегированного доступа напрямую к ресурсу (в обход мер защиты) или при консольном подключении (непосредственное подключение периферии к аппаратному серверу). Это актуально, если администратор имеет полномочия на управление сетевыми устройствами и сетевым взаимодействием.

Зачастую для таких учетных записей применяется только парольная аутентификация, имеющая значительные недостатки:

  • Подбор паролей
  • Несанкционированная передача паролей
  • Требование своевременной смены паролей при увольнении сотрудников
  • И другие.

Наличие подобных проблем в отношении привилегированного доступа создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Понимание этой задачи — важный шаг на пути к построению комплексной информационной безопасности компании.

Расширенные настройки безопасности – Zoom Центр справки и поддержки

Обзор

Раздел «Безопасность» позволяет владельцам и администраторам настроить определенные методы аутентификации и настройки для пользователей учетной записи. В число этих параметров входят парольные ограничения, распространяющиеся на способы входа в систему, а также прочие настройки профиля пользователя.

Примечание. Настройки безопасности, связанные с паролями конференций, можно изменить в настройках учетной записи.

В этой статье рассматриваются следующие вопросы:

Необходимые условия

  • Учетная запись «Профессиональная», «Бизнес», «Образование» или «Предприятие»
  • Владелец учетной записи, администратор или пользователь, роль которого обладает правами на управление безопасностью

Доступ к настройкам безопасности

Чтобы получить доступ к настройкам безопасности, выполните следующие действия:

  1. Войдите в учетную запись на веб-портале Zoom.
  2. В меню навигации нажмите Расширенные, а затем — Безопасность.

Настройки безопасности

Аутентификация

  • Основное требование к паролю: требования к паролю, используемому для входа в Zoom. Эти настройки невозможно изменить, и они влияют только на определенные пароли Zoom, все прочие методы аутентификации будут по-прежнему использовать собственные требования к паролям.
  • Правила усиленного пароля. Позволяет накладывать дополнительные требования на пароли пользователей, в том числе:
    • Иметь минимальную длину. Длину пароля можно увеличить с минимального значения в 8 символов до 14 символов.
    • Содержать как минимум 1 специальный символ (!, @, #...). Требует наличия специального символа в пароле.
  • Срок действия пароля истекает автоматически, и пароль необходимо изменить через установленное количество дней.  Позволяет задавать дату истечения срока действия паролей, в результате чего пользователи будут вынуждены создавать новые пароли после истечения их срока действия. Можно задать срок в 30, 60, 90 или 120 дней.
  • Пользователи не могут повторно использовать любой пароль, использованный в предыдущие разы. Запрещает пользователям повторно использовать старые пароли, которые использовались в рамках заданного числа ранее созданных паролей. Число ранее созданных паролей может находиться в диапазоне от 3 до 12.
  • Пользователи могут изменить пароль максимальное количество раз за 24 часа. Определяет количество изменений пароля пользователем в течение 24-часового периода. Можно задать значение в диапазоне от 3 до 8.

Безопасность 

  • Только администратор учетной записи может изменять имена пользователей, изображения профиля, адреса электронной почты для входа в систему и ключ организатора. Установите флажки, чтобы право изменять имена пользователей, изображения профиля, адреса электронной почты для входа в систему и ключ организатора было только у вас.
  • Только администратор учетной записи может изменять идентификатор персональной конференции и имя персональной ссылки лицензированных пользователей. Разрешить только вам менять PMI и имя персональной ссылки лицензированных пользователей.
  • Разрешить импорт фотографий из библиотеки фотографий на устройстве пользователя. Позволяет разрешить или запретить пользователю устанавливать фотографии со своего мобильного устройства в качестве изображения профиля. 
  • Скрыть платежную информацию от администраторов. Переопределяет значение параметра «Управление ролью для оплаты услуг», заданного для роли администратора по умолчанию, и блокирует администратору доступ к разделу оплаты услуг в учетной записи.
    Примечание. Владелец и любой другой пользователь с правами на оплату услуг в своей роли сможет по-прежнему осуществлять доступ к разделу «Оплата услуг».
  • Пользователи должны войти в систему повторно после периода бездействия. Выполняет принудительный выход пользователей из системы на веб-портале и/или в клиенте для ПК через заданное время.
    • Для веб-портала можно задать значение в диапазоне от 10 до 120 минут.
    • Для клиента Zoom можно задать значение в диапазоне от 5 до 120 минут.
  • Пользователи должны ввести ключ организатора следующей длины, чтобы получить роль организатора. Позволяет задать необходимую длину ключа организатора, можно задать значение в диапазоне 6-10 цифр.
  • Использовать двухэтапную проверку с помощью Google Authenticator. Включить двухфакторную аутентификацию для пользователей.

Способы входа в систему

  • Разрешить пользователям входить в систему с помощью системы единого входа (SSO). Эта настройка позволит пользователям входить в систему с помощью SSO, используя именной URL вашей компании.
    Примечание. Если для вашей учетной записи включен управляемый домен, вы можете заставить пользователей использовать SSO, если они входят в систему с помощью этого заданного домена.
  • Разрешить пользователям входить в систему с помощью Google. Эта настройка позволит пользователям входить в систему с помощью учетных данных Google.
    Примечание. Если для вашей учетной записи включен управляемый домен, вы можете заставить пользователей входить в систему с помощью Google, если они входят в систему с помощью этого заданного домена.
  • Разрешить пользователям входить в систему с помощью Facebook. Эта настройка позволит пользователям входить в систему с помощью учетных данных Facebook.

 

Учетная перезапись: уникальные пароли использует меньше трети россиян | Статьи

Меньше трети россиян (28%) используют уникальные пароли для разных сайтов, следует из результатов опроса Национальной системы платежных карт, которые есть у «Известий». Из-за одинаковых или похожих учетных данных граждане рискуют потерять доступ ко всем аккаунтам разом: после перехвата страницы мошенники могут украсть личную и платёжную информацию или рассылать спам от лица пользователя. Представители крупнейших сервисов электронных почт, социальных сетей и банков сообщили «Известиям», что предъявляют высокие требования к безопасности пароля, но не могут узнать, применялся ли он раньше на других ресурсах.

Трудные и не очень

Большинство россиян (76%) хранят пароли от своих аккаунтов в интернете самым надежным способом ­— запоминают их. Об этом говорится в исследовании «Мир Plat.form» (IT-бренд Национальной системы платежных карт — НСПК), которое есть в распоряжении «Известий». Опрос был проведен ко Дню криптографии, который отмечается 5 мая. В вопросе о способах хранения учетных данных можно было выбрать несколько ответов: почти 40% россиян заявили, что используют автосохранение в телефоне или браузере, 29% записывают данные на бумаге, а 18% — фиксируют их в текстовом формате на телефоне, планшете или компьютере.

В то же время лишь 28% респондентов сообщили, что создают уникальные пароли для каждого ресурса. Столько же опрошенных применяют набор из нескольких комбинаций символов, 17% — ставят одно и то же сочетание для всех ресурсов, а еще 27% — меняют свой подход в зависимости от задачи. Большинство россиян (49%) устанавливают трудные или очень трудные комбинации символов, 44% выбирают среднюю сложность, а оставшиеся 7% — придумывают простые или очень простые конфигурации, отмечается в исследовании.

Фото: РИА Новости/Наталья Селиверстова

Применяя уникальные пароли для разных учетных записей, россияне могут обезопасить себя от компрометации одного из наборов символов, подчеркнул руководитель направления информационной безопасности НСПК Артём Гутник. Он отметил, что самый безопасный метод хранения данных — запоминание последовательности цифр. Чтобы не забывать учетные данные, можно пользоваться специальными программами для их фиксации, однако важно выбирать надежные решения.

Хранение паролей на бумаге — самый небезопасный вариант, так как к записанной на ней информации проще всего получить доступ третьим лицам. Нередки случаи, когда люди кладут в бумажник с банковскими картами листок с записанными PIN-кодами, чего делать ни в коем случае не нужно, — заявил Артём Гутник.

Применение одинаковых учtтных данных на разных сервисах — плохая практика: большинство взломов аккаунтов является результатом переиспользования паролей, подтвердила эксперт по информационной безопасности в «Одноклассниках» Александра Сватикова. Даже сложное сочетание символов, которое человек применяет на нескольких сайтах, считается ненадежным, убеждены в «Яндексе». В компании подчеркнули: если злоумышленник узнает такую комбинацию, то он попробует зайти с ним и в социальные сети, и в почтовые сервисы, и в онлайн-банки.

Фото: Depositphotos

В «Яндексе» добавили, что отслеживают появление различных баз украденных паролей в интернете и при подозрении, что человек может использовать такие же комбинации символов, заблаговременно направляют его на обязательную смену данных для входа.

Открытые источники

При смене учетных данных «ВКонтакте» система не разрешит использовать сочетание букв, цифр и знаков, которое уже применялось ранее, заявили «Известиям» в пресс-службе сервиса. Там отметили, что дают пользователям рекомендации при установке защиты. Среди них — применение большого числа символов, нестандартных сочетаний слов, номеров, цифр и формул, а также отказ от использования дат рождений, фамилий, номеров машин и кличек домашних животных, поскольку мошенники могут найти эту информацию в открытых источниках.

Представители других почтовых сервисов и соцсетей оперативно не ответили на вопросы «Известий» о безопасных паролях.

Фото: ИЗВЕСТИЯ/Сергей Коньков

Высокие требования к сложности учетных данных помимо интернет-ресурсов предъявляют также кредитные организации. Об этом «Известиям» рассказали в ВТБ, ГПБ, «Открытии», ПСБ, «Райффайзене», РСХБ, ОТП Банке, крымском РНКБ, Росбанке и «Зените». В последних двух подчеркнули, что проверяют историю установки кодов доступа и не позволяют применять ранее использованные сочетания. Кроме того, финансовые организации устанавливают двухфакторную аутентификацию для входа в мобильный и интернет-банк — с помощью кода из SMS.

Банк не хранит пароли клиентов в открытом виде, не имеет доступа к ним и, соответственно, не имеет возможности контролировать использование клиентом таких же учётных данных в других сервисах, подчеркнул директор департамента информационной безопасности «Открытия» Илья Сулоев. Он предупредил, что компрометация сведений на менее защищенных площадках рискует привести к несанкционированному доступу к финансам клиента. О рисках хранения PIN-кода от карты вместе с самим «пластиком» известно в ГПБ: иногда россияне также записывают четырехзначный код на самой карте, или она завернута в кошельке в стикер из ранее полученного PIN-конверта, говорит замначальника департамента защиты информации банка Алексей Плешаков.

Если злоумышленник получил пароль от социальной сети или почты, он может украсть конфиденциальную и платежную информацию пострадавшего, а также рассылать фишинговые письма от лица жертвы или обманом вымогать у знакомых пострадавшего деньги, рассказал консультант центра информационной безопасности компании «Инфосистемы Джет» Владимир Ротанов. Он оценил, что на взлом учетных данных может потребоваться от одного до двух дней.

Фото: РИА Новости/Виталий Аньков

Сейчас существуют целые хакерские группировки, которые специализируются на проверке паролей, содержащихся в свежих утечках из популярных сервисов: в дальнейшем они продают доступ к взломанным учетным записям, рассказал основатель сервиса разведки утечек данных DLBI Ашот Оганесян, добавив, что расшифровка слитых учетных данных потребует от нескольких часов до недель.

В Минкомсвязи оперативно не ответили на запрос «Известий» о требованиях к интернет-ресурсам относительно защищенности паролей.

Вопросы учащихся о входе в систему Blackboard Learn

Как получить доступ к сайту Blackboard?

Попробуйте поискать в Интернете название вашего учреждения + Blackboard.

Если вы все равно не можете найти сайт учебного заведения, обратитесь в его службу ИТ-поддержки. Если вы не знаете, как связаться со службой поддержки, попробуйте поискать в Интернете «название вашего учреждения + служба поддержки» или же поищите нужную информацию на странице входа.


Как войти в систему?

Для доступа к системе Blackboard необходимы следующие данные:

  • веб-адрес сайта Blackboard Learn вашего учреждения;
  • ваше имя пользователя;
  • Пароль

В большинстве случаев веб-адрес направляет вас на страницу входа. Если вы были направлены на другую страницу, поищите кнопку входа или специальную область портала.

Что происходит после входа?

Для новых пользователей отобразится страница приветствия, на которой им будет предложено создать профиль. Прежде чем создать профиль, необходимо принять условия службы Blackboard Profile во всплывающем окне. Если вы не примете их, у вас не будет доступа к некоторым средствам. Профиль можно создать позже.

Для существующих пользователей отобразится вкладка «Мое учреждение». На этой вкладке можно получить доступ к курсам, на которые вы зачислены или на которых преподаете.


Я не помню свой пароль. Как его сбросить?

Выполняйте эти действия, если ваше учреждение позволяет сбрасывать пароль:

  1. Перейдите по URL-адресу, с помощью которого вы переходите на сайт Blackboard.
  2. On the login page, select Forgot Your Password? or Forgot Password?
  3. Введите своим имя, фамилию и имя пользователя. Чтобы получить инструкции, вам необходим действующий электронный адрес, связанный с вашей учетной записью. Вы можете также ввести свои имя, фамилию и электронный адрес.
  4. Нажмите кнопку Отправить.

Сохранив эти данные, вы можете создать новый пароль, следуя инструкциям, которые получите по электронной почте. Ваш текущий пароль будет оставаться активным, пока вы не смените его.

Если ссылка Забыли пароль недоступна, обратитесь в службу ИТ-поддержки вашего учреждения. Если вы не знаете, как связаться со службой поддержки, попробуйте поискать в Интернете «название вашего учреждения + служба поддержки» или же поищите нужную информацию на странице входа.


Как изменить пароль?

Вам непривычно? Перейдите к разделу справки об изменении пароля в интерфейсе Ultra.

В целях безопасности рекомендуем регулярно изменять пароль. Не используйте в качестве пароля личную информацию общего характера, например свое имя.

Чтобы изменить пароль, войдите в систему. Откройте меню рядом с вашим именем в верхнем колонтитуле и выберите Настройки > Личные сведения > Изменить пароль.

Пароли вводятся с учетом регистра, без пробелов и должны содержать хотя бы один символ. Пароли могут содержать не более 32 символов.

Сохранённые пароли — Запоминайте, удаляйте, редактируйте пароли в Firefox

Менеджер паролей Firefox безопасно хранит имена пользователя и пароли, которыми Вы пользуетесь на сайтах, и автоматически заполняет соответствующие поля при следующем посещении сайта. В этой статье описывается, как запоминать, отображать, редактировать, удалять и защищать Ваши пароли в Firefox, а также как отключить Менеджер паролей.

Когда Вы вводите имя пользователя и пароль, которые не были сохранены для сайта, Firefox предлагает их сохранить.

Совет: При нажатии вне диалога Сохранить он закрывается. Чтобы он появился снова, просто нажмите иконку с ключиком слева панели адреса. Если Firefox не предлагает запоминать пароли, прочитайте статью Не запоминаются имя пользователя и пароль.

В диалоге:

  • Чтобы Firefox запомнил Ваше имя пользователя и пароль на сайте, нажмите Сохранить. При следующем посещении сайта Firefox автоматически заполнит Ваше имя пользователя и пароль.
    • Если Вы ввели неверное имя или пароль, просто введите правильное, и Firefox предложит его сохранить. Чтобы его сохранить, нажмите Обновить.
  • Чтобы Firefox не запоминал имена и пароли на текущем сайте, нажмите на выпадающее меню и выберите . Когда Вы будете представляться сайту, Firefox больше не будет предлагать запомнить имя и пароль.
    • Если вы передумали и хотите, чтобы Firefox сохранил имя пользователя и пароль на этом сайте, вам необходимо зайти в НастройкиНастройкиНастройки Firefox и удалить сайт из списка исключений панели .
  • Чтобы пропустить сохранение имени пользователя и пароля только один раз, в выпадающем меню выберите Не сохранять. Firefox предложит запомнить пароль при следующем посещении сайта.

Примечание: Некоторые сайты предлагают запомнить Ваш логин при помощи галочки на входе на страничке. Это — свойство сайта, которое будет работать вне зависимости от того, сохранили ли вы ваше имя и пароль в Firefox.

Вы можете также вручную добавить логины веб-сайтов. Щёлкните по кнопке меню и выберите . Щёлкните по кнопке Создать новый логин в нижней левой части страницы Firefox Lockwise, чтобы вручную добавить адрес, логин и пароль для веб-сайта.

Если у вас больше, чем одна учётная запись для сайта, Firefox может сохранить все ваши логины. Каждый раз, когда вы заходите на сайт, вы можете выбрать информацию для входа, которую вы хотите использовать в Firefox.

Добавить другую учётную запись для входа: Чтобы сохранить дополнительную учётную запись для сайта, введите учётные данные для входа и нажмите Сохранить при появлении запроса. Используйте стрелку раскрывающегося списка, чтобы просмотреть список сохранённых имен пользователей для этого сайта. Вы также можете начать вводить текст, чтобы отфильтровать результаты.

Если для сайта сохранено больше одной учётной записи, то когда вы щёлкнете по полю учётной записи, отобразится список имён пользователей. Выберите то имя пользователя, под которым хотите войти.

Для просмотра паролей конкретного сайта,щёлкните по полю с именем пользователя для этого сайта, затем щёлкните Посмотреть сохранённые логины(смотри выше).

  1. Щёлкните по кнопке меню , чтобы открыть панель меню.
  2. Щёлкните . В новой вкладке откроется страница Firefox Lockwise about:logins.

Здесь вы можете просмотреть, скопировать, отредактировать или удалить ваши сохранённые логины.

Примечание: Вы можете ввести сайт, имя пользователя или пароль в текстовом поле Поиск логинов, чтобы отфильтровать логины, находящиеся в списке слева.

После того, как вы выберете запись в списке логинов, вы можете произвести следующие действия:

  • Щёлкните Копировать, чтобы скопировать имя пользователя или пароль.
  • Щёлкните , чтобы увидеть пароль.
  • Щёлкните Изменить, чтобы изменить имя пользователя или пароль.
  • Щёлкните Удалить, чтобы удалить логин из Firefox.

Для получения дополнительной информации, прочитайте статью Как редактировать или удалить логин в Firefox Lockwise для настольного компьютера?.

Удаление всех сохранённых логинов

  1. Щёлкните по кнопке меню Firefox
  2. Щёлкните по .
  3. Щёлкните по меню (три точки) в правом верхнем углу.
  4. Выберите .

Если вы хотите создать резервную копию ваших сохранённых логинов и паролей или переместить их в другое приложение, вы можете экспортировать эти данные в .csv-файл (значения, разделённые запятой). Для получения дополнительной информации прочитайте статью Экспорт регистрационных данных из Firefox Lockwise.

Вы также можете импортировать данные логинов из .csv-файла (значения, разделённые запятой). Для получения дополнительной информации прочитайте статью Импорт данных логинов из файла.

Если вы будете пользоваться простым паролем везде, вы будете подвержены риску кражи личности. В статье Выбор безопасного пароля для защиты вашей личности описывается, как легко создавать безопасные пароли, используя Менеджер паролей (описано выше), который поможет их вспомнить.

Хотя Firefox сохраняет ваши имена и пароли в зашифрованном формате, человек с доступом к пользовательскому профилю вашего компьютера всё равно сможет их увидеть или использовать. В статье Использование Мастер-пароля для защиты сохранённых имён пользователя и паролей описывается, как это предотвратить и оставаться в безопасности, если компьютер потеряется или будет украден.

Firefox предлагает запоминать пароли по умолчанию. Чтобы изменить ваши настройки:

  1. На Панели меню в верхней части экрана щёлкните и выберите . Нажмите на кнопку меню и выберите Настройки.Настройки.Настройки.
  2. Выберите панель и перейдите к разделу Логины и пароли.
    • Чтобы Firefox не сохранял логины и пароли для конкретного веб-сайта, щёлкните по кнопке Исключения… справа от Запрашивать сохранение логинов и паролей для веб-сайтов и добавьте URL веб-сайта.
    • Чтобы Firefox не сохранял логины и пароли для всех веб-сайтов, снимите флажок рядом с Запрашивать сохранение логинов и паролей для веб-сайтов.
  3. Закройте страницу about:preferences. Любые сделанные изменения будут сохранены автоматически.
Примечание: Если параметр Запрашивать сохранение логинов и паролей для веб-сайтов не выделен серым цветом, Firefox может быть настроен на то, чтобы никогда не запоминать историю или всегда использовать режим приватного просмотра. Чтобы восстановить обычный просмотр, перейдите к настройке под История и снимите галочку рядом с надписью Всегда использовать режим приватного просмотра или выберите Запоминать историю из выпадающего меню, а затем перезагрузите Firefox.

Следующие статьи помогут вам решить проблемы с именами и паролями:

простых приемов запоминания надежных паролей

Вам не разрешается использовать легко запоминающиеся пароли, такие как день рождения или имя вашей собаки. Запрещается использовать короткие простые пароли. Даже если вы запомните надежный и бродячий пароль, например $ 6k9iwb3 и IBwxMpa , вам не разрешается использовать его более чем для одного веб-сайта. Еще не разочарованы? Сохраните рассудок - воспользуйтесь услугами менеджера паролей. С помощью такой утилиты создать и запомнить разные надежные пароли для каждого веб-сайта совсем несложно.

Надлежащие полномасштабные менеджеры паролей работают на всех ваших устройствах, будь то настольные компьютеры, ноутбуки, смартфоны или планшеты. Они генерируют непонятные пароли, такие как hoIlH & H # @ GxKDNcT , запоминают их за вас и автоматически используют эти сохраненные пароли для входа на ваши защищенные сайты.

Но есть проблема. Почти каждый менеджер паролей использует мастер-пароль для блокировки всех сохраненных паролей. Главный пароль не должен быть взломан, потому что любой, у кого есть доступ к нему, может разблокировать все ваши защищенные сайты.Но это также должно быть полностью запоминающимся, а не тарабарщиной, исходящей от генератора случайных паролей. Если вы забудете мастер-пароль, никто не сможет вам помочь. С другой стороны, это также означает, что нечестный сотрудник не может взломать ваше хранилище паролей, а АНБ не может заставить компанию передать ваши данные.

Предположим, вы все сделали правильно с точки зрения безопасности. Вы установили антивирус или пакет безопасности. Виртуальная частная сеть, или VPN, обертывает ваш сетевой трафик защитным шифрованием.И вы наняли менеджер паролей для работы с вашим изобилием паролей. Вы все еще пытаетесь запомнить один безумно надежный мастер-пароль, чтобы заблокировать этот менеджер паролей. Вот несколько советов по выбору пароля, который запоминается и не поддается угадыванию.

Make It Poetic

У каждого есть любимое стихотворение или песня, которые они никогда не забудут. Это может быть из Шекспира, или Pussy Riot, или группы Bonzo Dog Doo Dah Band. Независимо от строфы или стиха, вы можете превратить его в пароль.Вот как.

Начните с написания первой буквы каждого слога, используя заглавные буквы для ударных слогов и сохраняя любые знаки препинания. Давайте попробуем эту строчку из «Ромео и Джульетты»: «Но мягкий, какой свет сквозь то окно пробивается?» Из этого получится bS, wLtYdWdB ? Вы можете добавить A2S2 для Акта 2, Сцены 2, если это то, что вы никогда не забудете. Или 1597 за год публикации.

Если в отрывке нет точного счетчика, вы можете просто взять первую букву каждого слова, используя существующие знаки препинания и заглавные буквы.Начиная с цитаты «Будь собой; все остальные уже заняты. - Оскар Уайльд», вы могли бы придумать By; eeiat.-OW . Добавление запоминающегося числа завершает пароль, возможно, 1854 (дата его рождения) или 1900 (его смерть).

Ваш поэтический пароль, конечно же, будет полностью отличаться от этих примеров. Вы начнете со своей собственной содержательной песни или цитаты и преобразуете ее в уникальный пароль, который никто не сможет угадать.

Используйте парольную фразу

Специалисты по паролям всегда советуют включать все четыре типа символов: прописные буквы, строчные буквы, цифры и символы.Причина в том, что, расширяя набор символов, вы значительно увеличиваете время, необходимое для взлома пароля. Но сама длина также усложняет взлом, и один из способов получить длинный, запоминающийся пароль - это использовать парольную фразу.

Снарки, умный веб-комикс XKCD нацелился на дурацкие схемы паролей, предлагающие начинать с общего слова, заменять некоторые буквы похожими цифрами и добавлять несколько дополнительных символов. Это может оставить вас в недоумении. Это было Tr0ub4dor & 3 , или Tr0ub4dor3 & ? А может Тр0м30не и 3 ? Парольную фразу, такую ​​как верная скоба для лошадиных аккумуляторов, значительно сложнее взломать из-за ее длины, но ее гораздо легче запомнить.

Не все менеджеры паролей допускают пробелы в мастер-пароле. Без проблем! Просто выберите такой символ, как дефис или знак равенства, чтобы разделить слова. Совет от профессионалов: не используйте символы, требующие нажатия клавиши Shift. Выберите слова, которые естественно не сочетаются друг с другом, а затем придумайте мнемонический рассказ или изображение, чтобы связать их. Что бы вы изобразили для "версии с рывком-блондинкой"?

Если у вас возникли проблемы с подстановкой несвязанных слов для ключевой фразы, существует множество онлайн-генераторов парольных фраз, включая метко названный CorrectHorseBatteryStaple.сеть. Вы можете вполне обоснованно беспокоиться об использовании парольной фразы, сгенерированной чужим алгоритмом. В этом случае вы можете сгенерировать несколько парольных фраз и вырезать из каждой слово.

Более длинные пароли лучше пароли

Опытный специалист по компьютерам Стив Гибсон предполагает, что секрет длинных и надежных паролей заключается в заполнении. Если злоумышленник не может взломать ваш пароль с помощью словарной атаки или других простых средств, единственным выходом является сканирование всех возможных паролей методом перебора. И каждый добавленный персонаж значительно усложняет эту атаку.

Веб-сайт Gibson предлагает калькулятор пространства поиска, который анализирует любой вводимый пароль на основе используемых типов символов и длины. Калькулятор рассчитывает, сколько времени потребуется для взлома заданного пароля при атаке методом перебора. Это не измеритель надежности пароля, а скорее измеритель времени взлома, и поучительно посмотреть, как увеличивается время взлома, когда вы удлиняете пароль.

Я не пытаюсь смотреть, как люди вводят свои пароли, но я заметил довольно много таких, которые, судя по движениям рук, заканчиваются тремя восклицательными знаками.Я бы посоветовал не это дополнение. Во-первых, требуется клавиша Shift. Во-вторых, это слишком предсказуемо. Я не удивлюсь, если в комплекты инструментов для взлома паролей уже включено "!!!" в своих словарях.

Вместо этого выберите два под рукой ключа и чередуйте их, добавив что-то вроде vcvcvcvc . Или выберите три символа, например lkjlkjlkjlkj . Калькулятор Гибсона говорит, что «массивному массиву взлома» потребуется более 45 лет, чтобы взломать bS, wLtYdWdB? (пароль Ромео и Джульетты из моего предыдущего примера).Добавление vcvcvcvc увеличивает это значение до квадриллиона веков.

Длинный, надежный и запоминающийся

После того, как вы вложились в диспетчер паролей и преобразовали все свои логины для использования надежных уникальных паролей, единственный пароль, который вы все еще запоминаете, - это тот, который открывает сам диспетчер паролей . Этот мастер-пароль открывает все остальное, поэтому вам действительно нужно потратить некоторое время на то, чтобы придумать мастер, который вы легко запомните, но кто-то другой не сможет его угадать или взломать.

Придумайте пароль на основе стихотворения, песни или известной цитаты. Или создайте кодовую фразу, связав несвязанные слова с запоминающимся изображением или историей. Затем добавьте простую набивку. Вы получите мастер-пароль, который запоминается и не поддается взлому.

Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на информационный бюллетень означает ваше согласие с нашими Условиями использования и Политикой конфиденциальности. Вы можете отказаться от подписки на информационные бюллетени в любое время.

Простая система паролей: 6 шагов

Давайте быстро остановимся, чтобы объяснить, почему эта система работает, если веб-сайт, на который вы входите, работает правильно. Возможно, вы уже знаете об этом. Если да, можете пропустить этот шаг. Если вы все еще не уверены в названии этого шага, вы окажете себе большую услугу, если прочитаете этот шаг и получите базовое представление о том, что происходит за кулисами веб-сайта.

Когда вы создаете пароль для веб-сайта, он не должен храниться в виде обычного текста.Был сайт с достаточно хорошей репутацией, который несколько лет назад взломали. Хакеры получили все пароли, которые люди использовали для входа на сайт, потому что пароли хранились в виде простого текста.

Как им хранить полученные пароли? Их следует посолить и перемешать. Давайте сначала объясним хеширование.

Хеширование

Это числовая операция, которая применяется к паролю. Он превращает текстовый пароль в строку цифр.

Например: MyVoiceIsMyPassword

Под хешем под названием "md5" становится: 7be7c47db5818d392367c183e6f4a8f3

Пока я конвертирую все свои входящие пароли в хеш md5 и сохраняю только хеш-хеш для хеширования плохих парней. пароли, которые они крадут.Если бы вы прямо сейчас взломали мой веб-сайт и взглянули на этот хэш, было бы очень сложно преобразовать его обратно в исходный текст.

Но каждый раз, когда я вхожу в систему и набираю «MyVoiceIsMyPassword», он каждый раз преобразуется в «7be7c47db5818d392367c183e6f4a8f3». Этот хеш не меняется. Поэтому, когда компьютер проверяет, правильно ли вы ввели пароль, он может преобразовать мой пароль в хэш, и он будет соответствовать хешу, хранящемуся в базе данных.

Можете ли вы сказать, хеширует ли ваш пароль веб-сайт? Неа.К сожалению, вы не можете этого сделать, но важно понимать, почему эта система паролей работает.

Salting

Помимо хеширования входящих паролей, их также следует солить. Соль - это строка текста, которая добавляется ко всем входящим паролям. Если, скажем, Instructables решит сделать соль из «1n57ruc7ab135» (что было бы не очень хорошей идеей, она должна быть более случайной), вот как бы это выглядело.

Например: MyVoiceIsMyPassword с хешем 7be7c47db5818d392367c183e6f4a8f3

Когда соленый становится: 1n57ruc7ab135MyVoiceIsMyPassword с хешем 731408efd063fee.Но какое это имеет значение?!? Вы можете спросить, и это хороший вопрос. Это потому, что, если каждый веб-сайт имеет уникальную соль, становится чрезвычайно сложно использовать хеш, украденный с одного веб-сайта, для доступа к хешу на другом сайте.

Можете ли вы сказать, затапливает ли сайт свои пароли? Неа. Опять же, это просто важно для понимания представляемой системы.

Четыре метода создания безопасного пароля, который вы действительно запомните

Как сбалансировать необходимость высокозащищенных паролей с утилитой, позволяющей легко их все вспомнить? Единственный безопасный пароль - это тот, который вы не можете вспомнить, но бывают случаи, когда вы не можете использовать менеджер паролей и вам нужно полагаться на свою память.

Этот пост изначально был опубликован в блоге Buffer .

Это вопрос, который я задаю каждый раз, когда происходит нарушение безопасности. Когда прошлой весной была обнаружена уязвимость Heartbleed, каждый должен был немедленно изменить все свои пароли. Это все еще в моем списке дел. Я съеживаюсь при мысли о том, что меня взломают, а также при мысли о том, что потрачу время и умственную энергию на то, чтобы полностью пересмотреть свои любимые пароли.

Это похоже на вас?

Если у вас есть система для управления вашими уникальными, случайными и неразрушаемыми паролями, снимаю перед вами шляпу. По некоторым оценкам, вы относитесь к 8% хорошо защищенных пользователей, которые не используют пароли повторно.

G / O Media может получить комиссию

Остальные из нас все еще ищут решение. Мы знаем, что создание безопасного пароля имеет первостепенное значение, но как на самом деле создать и вспомнить все эти важные случайные пароли, которые нам нужны? Мне потребовалось написать этот пост, чтобы разобраться с моими паролями.Вот что я узнал о том, как создать надежный пароль, который вы можете запомнить.

Анатомия неразрывного пароля

Чем длиннее пароль, тем сложнее его взломать. Считайте, что пароль должен состоять из 12 или более символов.

Избегайте имен, мест и словарных слов.

Смешайте. Используйте вариации заглавных букв, правописания, цифр и знаков препинания.

Эти три правила значительно усложняют хакерам взлом вашего пароля.Стратегии, используемые взломщиками паролей, достигли невероятно эффективного уровня, поэтому совершенно необходимо проявлять необычность при создании паролей. Вот пример от эксперта по безопасности Брюса Шнайера о том, как далеко продвинулись взломщики паролей:

Взломщики используют разные словари: английские слова, имена, иностранные слова, фонетические шаблоны и так далее для корней; две цифры, даты, одиночные символы и так далее для придатков. Они запускают словари с разными заглавными буквами и обычными заменами: «$» вместо «s», «@» вместо «a», «1 ″ вместо« l »и так далее.Эта стратегия угадывания быстро взламывает около двух третей всех паролей.

Недавние взломы паролей на таких сайтах, как Adobe, показали, насколько небезопасны многие из наших паролей. Вот список наиболее распространенных паролей, обнаруженных при взломе Adobe. Вероятно, само собой разумеется: избегайте использования этих паролей.

  • 123456
  • 123456789
  • пароль
  • админ
  • 12345678
  • БУКВ
  • 1234567
  • 111111
  • фотошоп
  • 123123
  • 1234567890
  • 000000
  • абв123
  • 1234
  • adobe1
  • Макросреды
  • azerty
  • iloveyou
  • aaaaaa
  • 654321

Если вам интересно, безопасен ли выбранный вами пароль, вы можете запустить его с помощью онлайн-средства проверки пароля, например, на OnlineDomainTools.Чтобы подчеркнуть важность длинного, случайного и уникального пароля, в онлайн-проверке есть специальные поля, в которых отображается вариация вашего пароля в символах, его внешний вид в словарях и время, необходимое для его взлома с помощью грубой силы.

Четыре метода выбора небьющегося пароля

Единственная проблема, связанная с созданием случайного, небьющегося пароля, состоит в том, что случайные пароли трудно запомнить. Если вы набираете только символы без рифмы или причины - действительно случайным образом - тогда вам, вероятно, будет так же трудно запомнить это, как кто-то взломает его.

Таким образом, имеет смысл использовать на первый взгляд случайный пароль, который практически невозможно распознать взломщиком, но который имеет значение или знаком для вас. Вот четыре метода, которые можно попробовать.

Метод Брюса Шнайера

Эксперт по безопасности Брюс Шнайер еще в 2008 году предложил метод паролей, который он все еще рекомендует сегодня. Это работает так: Возьмите предложение и превратите его в пароль.

Приговор может быть чем угодно личным и запоминающимся для вас.Возьмите слова из предложения, затем сократите их и объедините уникальными способами, чтобы сформировать пароль. Вот четыре примера предложений, которые я собрал.

WOO! TPwontSB = Woohoo! Упаковщики выиграли Суперкубок!

PPupmoarT @ O @ tgs = Пожалуйста, купите еще Toasty O в продуктовом магазине.

1tubuupshhh… imj = Я заправляю рубашки с пуговицами в джинсы.

W? Ow? Imp :: ohth4r = Где моя груша? О, вот.

Метод Electrum

Управление биткойн-кошельком требует высокого уровня безопасности и огромной зависимости от надежных паролей.Войдите в Электрум. Кошелек Electrum предлагает семя из 12 слов, которое позволяет вам получить доступ ко всем вашим биткойн-адресам. Сид служит главным паролем для ваших биткойнов.

Этот тип пароля также называется парольной фразой и представляет собой несколько новый взгляд на безопасность. Вместо сложной для запоминания строки символов вы можете составить длинную фразу. (Примечание: Брюс Шнайер предупреждает, что взломщики паролей теперь объединяют общие словарные слова в свои догадки, поэтому, если вы попробуете метод парольной фразы, сохраните его как можно дольше.)

Идея парольных фраз прекрасно отражена в этом комиксе от xkcd:

Как вы можете создать собственное семя из 12 слов? Это так просто, как кажется. Придумайте 12 случайных слов.

Можно начать с фразы, например, «Даже зимой собаки тусуются с метлами и соседом Китом Катсом». Только убедитесь, что это не простая фраза или фраза из существующей литературы. Вы также можете взять 12 случайных слов: «Кладовая утка, хлопковая крышка, ткань, самолет, храп, весло, Рождественская лужа, бревно, харизма."

При помещении в программу проверки пароля парольная фраза из 12 слов выше показывает, что для взлома атаки методом грубой силы потребуется 238 378 158 171 207 квадрагинтиллионов лет.

Метод PAO

Методы запоминания и мнемонические устройства могут помочь вам запомнить По крайней мере, это теория, выдвинутая компьютерными учеными из Университета Карнеги-Меллона, которые предлагают использовать метод «человек-действие-объект» (PAO) для создания и хранения ваших нерушимых паролей.

PAO получил популярность в бестселлере Джошуа Фоера «Лунная походка с Эйнштейном ». Метод выглядит так:

Выберите изображение интересного места (гора Рашмор). Выберите фотографию знакомого или известного человека (Бейонсе). Представьте себе какое-то случайное действие вместе со случайным объектом (Бейонсе за рулем формы для желе на горе Рашмор).

Метод запоминания PAO имеет когнитивные преимущества; наш мозг лучше запоминает с помощью визуальных общих сигналов и диковинных, необычных сценариев.Создав и запомнив несколько историй PAO, вы можете использовать их для генерации паролей.

Например, вы можете взять первые три буквы от «вождение» и «желе», чтобы создать «дрижел». Сделайте то же самое для трех других историй, объедините свои выдуманные слова вместе, и у вас будет 18-значный пароль, который будет казаться другим совершенно случайным, но знакомым вам.

Фонетическая мышечная память

Я немного увлекся собственной системой паролей, которую я использовал для создания некоторых странных, необычных, случайных паролей с течением времени.Мой метод основан на паре полезных запоминающих устройств: фонетике и мышечной памяти. Вот как это работает:

  1. Перейдите на сайт с генератором случайных паролей.
  2. Создайте 20 новых паролей длиной не менее 10 символов, включающих цифры и заглавные буквы (и знаки препинания, если вы чувствуете себя смелым).
  3. Сканируйте пароли в поисках фонетической структуры - в основном пытайтесь найти пароли, которые вы можете озвучить в своей голове. Например: drEnaba5Et (доктор enaba 5 E.T.) или BragUtheV5 (хвастайтесь V5).
  4. Введите фонетические пароли в текстовом файле, обращая внимание на то, насколько легко они вводятся и как быстро вы можете их вводить. Легко вводимые пароли быстрее застревают в моей мышечной памяти.
  5. Храните фонетические пароли с мышечной памятью. Остальное выбросьте. Распечатайте текстовый файл с хранителями паролей.

Поочередно меняйте пароли на наиболее часто используемых веб-сайтах. Пройдет время или два, чтобы ввести эти новые пароли, прежде чем вы полностью запомните новые пароли, но достаточно ввести его, чтобы закрепить это в вашем мозгу. Я до сих пор помню пароли много лет назад на основе этого метода.

Следующий по важности шаг для создания безопасного пароля

После создания сверхзащищенного пароля остается еще один огромный и очень важный шаг: Никогда не используйте повторно один и тот же пароль.

Оф. Я полагаю, что многие люди зацикливаются на этой части. Создание и запоминание уникального пароля само по себе непросто, а уж тем более делать это несколько раз. Кажется, я регистрируюсь на новом веб-сайте или в сервисе один раз в день.Это 30 новых паролей в месяц, и я боюсь, что мой мозг не сможет вместить все это.

Как вам удается создавать уникальные пароли, никогда не использовать повторно ни один, и при этом входить в систему быстро и эффективно (и не нажимая ссылка "забыл пароль")?

Именно здесь для меня возникает вопрос о безопасности и удобстве использования. К счастью, есть несколько разных подходов к решению этой головоломки.

Подпишитесь на инструмент управления паролями

Лучше всего, если вы выберете парольную защиту, подписавшись на такой инструмент, как LastPass или 1Password. Эти инструменты сохранят ваши пароли для вас (и даже при необходимости предоставят новые случайные пароли). Все, что вам нужно сделать, это запомнить единственный мастер-пароль, который дает вам доступ к сохраненным данным. Введите свой главный пароль один раз, а инструмент управления паролями сделает все остальное.

Некоторые из этих инструментов управления паролями прекрасно интегрируются в ваш браузер или даже на мобильное устройство. Зашифрованные данные надежно хранятся (инструменты настолько безопасны, насколько вы можете подключиться к Интернету), а пароли извлекаются легко.Практически в каждом случае лучше всего использовать диспетчер паролей, и вы можете заметить неудобства только тогда, когда входите в систему с чужого устройства или из места, где вы не можете получить доступ к службе (действительно редкие случаи).

Сохраняйте оригинальные пароли для наиболее важных инструментов, приложений и веб-сайтов

Еще одна стратегия, с которой я столкнулся, - максимально использовать память, храня в голове как можно больше паролей. Используйте оригинальные для важных сайтов, таких как электронная почта, Facebook, Twitter и банки.Используйте общий (но трудный для взлома) пароль для всех менее важных мест.

Риск здесь, конечно же, заключается в том, что если одно из ваших менее важных мест будет скомпрометировано, все они будут в опасности. Ваша важная электронная почта, социальные сети и денежные счета будут в безопасности, и это здорово. Ваша взломанная учетная запись Disqus может писать о том, как сильно вы любите фрукты асаи, что не так уж и хорошо.

Гибридный метод: управление паролями плюс запоминание

Что делать, если вы смешиваете два метода? Запомните пароли для наиболее важных и часто используемых инструментов, а для остальных используйте LastPass или 1Password.

Вы даже можете разделить его таким образом, чтобы запоминать пароли, которые вы используете чаще всего в местах, где LastPass и 1Password наименее доступны - например, в мобильных приложениях, в которые вы входите постоянно.

В конце концов, важно помнить, что даже сложные пароли могут быть скомпрометированы, и вы никогда не должны думать, что вы полностью защищены только потому, что ваш пароль длиннее, чем пароль Ulysses. Чтобы избежать фишинга и других распространенных методов, которые могут скомпрометировать ваши учетные записи, требуются смекалка и здравый смысл, и вы всегда должны включать двухфакторную аутентификацию, если она доступна.

Как создать безопасный пароль, который можно будет вспомнить позже: 4 основных метода | Блог Buffer


Кеван Ли - это Content Crafter по адресу Buffer , более разумный способ публикации в Twitter и Facebook.

Изображение адаптировано из DVARG (Shutterstock) и Zeana (Pixabay).Иллюстрация xkcd . Автор фото: DanielSTL (Flickr), Жан-Этьен Мин-Дуй Порье (Flickr) и J Brew

Хотите увидеть вашу работу на Lifehacker? Электронная почта Энди .

Как создать надежный пароль и победить хакеров

Лучшие пароли предотвратят грубую силу и атаки по словарю, но также можно упростить их запоминание.Попробуйте эти варианты паролей, чтобы сделать ваши учетные записи небезопасными.

Каждую неделю наши исследователи собирают последние новости безопасности и сообщают о наших результатах на этих страницах блога. Если вы читали, то, возможно, заметили особенно неприятную тенденцию, требующую новых жертв неделя за неделей - утечек данных . Только за последние два месяца мы сообщили о Carnival Cruises, ProctorU и Garmin. И это только некоторые из них.

Ваши пароли предоставляют доступ в ваше личное царство, поэтому вы, вероятно, думаете, «как лучше всего создать надежный пароль» для защиты ваших учетных записей от этих киберпреступников.Если ваши пароли были частью взлома, вы захотите немедленно их изменить.

Итак, какое решение? Пароли, которые невозможно взломать . Но прежде чем перейти к этому, давайте сначала рассмотрим различные способы взлома паролей, чтобы вы поняли наиболее распространенные методы, используемые сегодня.

Как взломать пароль?

Киберпреступники имеют в своем распоряжении несколько тактик взлома паролей, но самая простая из них - просто купить ваши пароли в даркнете.Покупка и продажа учетных данных и паролей на черном рынке приносит большие деньги, и если вы используете один и тот же пароль в течение многих лет, скорее всего, он был взломан.

Но если вы проявили достаточно мудрости и не включили свои пароли в сводные списки черного рынка, киберпреступники должны их взломать. И если это так, они обязаны использовать один из следующих способов. Эти атаки могут быть нацелены на ваши фактические учетные записи или, возможно, на утечку базы данных хешированных паролей.

Атака грубой силы

Эта атака пытается угадать каждую комбинацию в книге, пока не встретит вашу. Злоумышленник автоматизирует программное обеспечение, чтобы испробовать как можно больше комбинаций в кратчайшие сроки, и в развитии этой технологии был достигнут некоторый прискорбный прогресс. В 2012 году трудолюбивый хакер представил кластер на 25 графических процессоров, который он запрограммировал для взлома любого 8-значного пароля Windows, содержащего прописные и строчные буквы, цифры и символы, менее чем за шесть часов.У него есть способность делать 350 миллиардов предположений в секунду. Как правило, все, что меньше 12 символов, уязвимо для взлома. По крайней мере, из атак методом грубой силы мы узнаем, что длина пароля очень важна. Чем дольше, тем лучше.

Атака по словарю

Эта атака звучит именно так - хакер, по сути, атакует вас со словарем. В то время как атака методом грубой силы пробует каждую комбинацию символов, цифр и букв, атака по словарю пробует заранее составленный список слов, который вы найдете в словаре.

Если ваш пароль действительно обычное слово, вы переживете атаку по словарю только в том случае, если ваше слово очень необычное или если вы используете несколько словосочетаний, например LaundryZebraTowelBlue. Эти пароли из нескольких словосочетаний перехитрили словарную атаку, которая сокращает возможное количество вариаций до количества слов, которые мы можем использовать, до экспоненциальной степени количества слов, которые мы используем, как объясняется в разделе «Как выбрать пароль. »Видео от Computerphile.

Фишинг

Самая отвратительная тактика - фишинг - заключается в том, что киберпреступники пытаются обмануть, запугать или заставить вас с помощью социальной инженерии невольно сделать то, что они хотят. Фишинговое письмо может сообщить вам (ложно), что с вашей учетной записью кредитной карты что-то не так. Вам будет предложено щелкнуть ссылку, по которой вы попадете на фальшивый веб-сайт, похожий на компанию, выпускающую вашу кредитную карту. Мошенники ждут, затаив дыхание, надеясь, что уловка сработает и теперь вы введете свой пароль. Как только вы это сделаете, они его получат.

Фишинг-мошенничество также может попытаться заманить вас в ловушку посредством телефонных звонков. Остерегайтесь любых звонков роботов, которые утверждают, что они касаются вашей кредитной карты.Обратите внимание, что в записанном приветствии не указано, по какой кредитной карте он звонит. Это своего рода тест, чтобы увидеть, положили ли вы трубку сразу или они вас «подсадили». Если вы останетесь на связи, вас свяжут с реальным человеком, который сделает все возможное, чтобы выманить из вас как можно больше конфиденциальных данных, включая ваши пароли.

Анатомия надежного пароля

Теперь, когда мы знаем, как взламывают пароли, мы можем создавать надежные пароли, которые перехитрят каждую атаку (хотя способ перехитрить фишинговую аферу - просто не поддаться ей). Ваш пароль становится невосприимчивым, если он соответствует этим трем основным правилам.

Не будь глупым

Держитесь подальше от очевидного. Никогда не используйте последовательные цифры или буквы, и из любви к киберпространству не используйте «пароль » в качестве пароля . Придумывайте уникальные пароли, не содержащие никакой личной информации, такой как ваше имя или дату рождения. Если вы стали жертвой взлома пароля, хакер использует все, что знает о вас, в своих попытках угадать.

Избегайте 10 самых слабых паролей

Можно ли атаковать грубой силой?

Принимая во внимание характер атаки методом грубой силы, вы можете предпринять определенные шаги, чтобы сдержать грубых атак:

  • Сделайте это длинным. Это наиболее важный фактор. Не выбирайте ничего короче 15 символов, если возможно, больше.
  • Используйте сочетание символов. Чем больше вы смешиваете буквы (прописные и строчные), цифры и символы, тем надежнее ваш пароль и тем сложнее его взломать при помощи грубой силы.
  • Избегайте обычных замен. Взломщики паролей модернизированы до обычных замен. Используете ли вы DOORBELL или D00R8377, злоумышленник с такой же легкостью взломает его. В наши дни случайное размещение персонажей намного эффективнее, чем обычные замены leetspeak * . (* определение leetspeak: неформальный язык или код, используемый в Интернете, в котором стандартные буквы часто заменяются цифрами или специальными символами.)
  • Не используйте запоминающиеся пути клавиатуры. Подобно совету выше не использовать последовательные буквы и цифры, не используйте последовательные пути клавиатуры (например, qwerty ). Это одни из первых, о которых можно догадаться.

Можно ли атаковать по словарю?

Ключом к предотвращению атак этого типа является обеспечение того, чтобы пароль состоял не из одного слова. Использование нескольких слов может сбить с толку эту тактику - помните, что эти атаки уменьшают возможное количество предположений до количества слов, которые мы можем использовать, до экспоненциальной степени количества слов, которые мы используем, как объясняется в популярном посте XKCD по этой теме.

Лучшие методы паролей (и отличные примеры паролей)

В Avast мы кое-что знаем о кибербезопасности. Мы знаем, что делает надежный пароль, и у нас есть свои любимые методы их создания. Приведенные ниже методы дают вам несколько хороших идей для создания надежных и запоминающихся паролей. Следуйте одному из этих полезных советов, и вы удвоите защиту своего цифрового мира.

Метод измененной парольной фразы

Это метод многословной фразы с изюминкой - выбирайте причудливые и необычные слова.Используйте имена собственные, названия местных предприятий, исторических деятелей, любые известные вам слова на другом языке и т. Д. Хакер может угадать Quagmire, , но ему или ей будет нелегко попытаться угадать хороший пример пароля, подобный этому :

Куагмайр, Хэнкок, МерчиДенада, ,

Хотя слова должны быть необычными, попробуйте составить фразу, которая даст вам мысленный образ. Это поможет вам запомнить.

Чтобы поднять его еще на один уровень сложности, вы можете добавлять случайные символы в середине слов или между словами.Просто избегайте подчеркивания между словами и любых распространенных замен leetspeak * . (* leetspeak: неофициальный язык или код, используемый в Интернете, в котором стандартные буквы часто заменяются цифрами или специальными символами.)

Метод предложения

Этот метод также называют «методом Брюса Шнайера». Идея состоит в том, чтобы придумать случайное предложение и преобразовать его в пароль с помощью правила. Например, если взять первые две буквы каждого слова в слове «Старый герцог - мой любимый паб в Южном Лондоне», получится:

ThOlDuismyfapuinSoLo

Для кого-то это ерунда, но для вас это имеет смысл. Убедитесь, что выбранное вами предложение является максимально личным и непостижимым.

Рекомендуемые способы улучшить свой портфель паролей

Все вышеперечисленные методы помогают укрепить ваши пароли, но они не очень эффективны, учитывая, что средний человек использует их десятки. Давайте рассмотрим несколько способов, которые мы рекомендуем: использовать новые сложные пароли и менеджер паролей, установить приложение для аутентификации на свой смартфон и приобрести новое оборудование. Каждый из них может помочь улучшить и повысить безопасность аутентификации.

Используйте менеджер паролей и генератор случайных паролей

Менеджер паролей отслеживает все ваши пароли и все запоминает за вас, за исключением одного - главного пароля, который предоставляет вам доступ к вашему менеджеру паролей. Для этого большого кахуна мы рекомендуем вам использовать все советы и приемы, перечисленные выше. Программы также поставляются с генераторами, такими как генератор случайных паролей Avast, показанный ниже, так что вы можете создавать сверхсложные, сверхдлинные пароли, которые бесконечно больше труднее взломать любой пароль, который может придумать человек. В журнале PC Magazine есть ряд рекомендаций по работе с менеджерами паролей.

Проверьте и свой адрес электронной почты

Посетите сайт Avast Hack Check, чтобы узнать, не произошла ли утечка вашего пароля при предыдущих утечках данных. Если да, немедленно смените пароль в своей учетной записи электронной почты.

Пример теста с использованием Avast Hack Check, показывающий, что электронная почта « [email protected] » была взломана в результате предыдущей утечки данных.

Будьте осторожны, кому доверяете

Сайты, заботящиеся о безопасности, будут хэшировать пароли своих пользователей, так что даже в случае выхода данных фактические пароли будут зашифрованы.Но другие веб-сайты не обращают внимания на этот шаг. Прежде чем запускать учетные записи, создавать пароли и доверять веб-сайту конфиденциальную информацию, найдите время, чтобы оценить сайт. Есть ли в адресной строке https , что обеспечивает безопасное соединение? Считаете ли вы, что он соответствует новейшим стандартам безопасности дня? Если нет, дважды подумайте, прежде чем делиться с ним какими-либо личными данными.

Использовать многофакторную аутентификацию

Многофакторная аутентификация (MFA) добавляет дополнительный уровень защиты (который становится вашим первым уровнем защиты в случае утечки данных вашей учетной записи).Они стали новым отраслевым стандартом эффективной безопасности. В нашем блоге здесь мы объясняем, как они используются и как вы можете добавить MFA в общие социальные учетные записи, такие как Twitter и Facebook. Им требуется что-то помимо пароля, например биометрические данные (отпечаток пальца, сканирование глаз и т. Д.) Или физический токен. Таким образом, каким бы простым или сложным ни был ваш пароль, это только половина проблемы.

Дополнительная литература: Как использовать многофакторную аутентификацию для более безопасных приложений

Примечание: учитывая взлом Reddit 2018 года, вызванный перехватами SMS, мы не рекомендуем использовать SMS в качестве второго фактора аутентификации.Это хорошо проторенный путь многих хакеров за последние несколько лет.

Лучший способ MFA - использовать специализированное приложение для вашего смартфона. Google Authenticator (здесь для Apple, здесь для Android) и Authy - два примера, и оба они бесплатны. Приложение генерирует одноразовый PIN-код, который вы вводите в качестве дополнительного фактора при входе в систему. PIN-коды автоматически меняются каждые 30 секунд. Вам нужно будет следовать инструкциям по настройке MFA для вашего конкретного приложения, а некоторые приложения еще не поддерживают этот метод MFA.

Ключи безопасности выводят безопасность на новый уровень. Ключ безопасности, такой как YubiKey (названный в честь «универсального ключа»), дает вам самую современную защиту, доступную на сегодняшний день. Он служит вашим MFA, предоставляя вам доступ к файлам только в том случае, если у вас физически есть ключ. Ключи безопасности доступны в версиях USB, NFC или Bluetooth, и они обычно имеют размер флэш-накопителя. В 2017 году Google обязал всех своих сотрудников начать использовать электронные ключи, и компания утверждает, что с тех пор не было ни одной утечки данных среди своих 85000 сотрудников. У них есть собственный продукт под названием Titan Security Key, разработанный специально для защиты людей от фишинговых атак.

Для MFA и ключей безопасности: ознакомьтесь с альянсом FIDO, который работает над созданием строгих стандартов аутентификации для настольных и мобильных приложений. Если вас так же беспокоит онлайн-безопасность, как и нам, вы хотите использовать только службы, совместимые с FIDO, такие как Microsoft, Google, PayPal, Bank of America, NTTDocomo и DropBox, и это лишь некоторые из них. Когда определенный электронный ключ, веб-сайт, мобильное приложение и т. Д.имеет сертификат FIDO® и соответствует высоким стандартам аутентификации и защиты альянса.

На заре практической мысли Сократ дал изощренный совет: познай самого себя. Мы собираемся позаимствовать из его книги, обновить советы на пару тысяч лет и побудить всех сделать то, что сегодня абсолютно необходимо: обезопасить себя.

Защитите свои данные для входа в систему с помощью этих здравых советов по обеспечению высокой безопасности:

Выбор и защита паролей | CISA

Пароли являются распространенной формой аутентификации и часто являются единственным барьером между вами и вашей личной информацией. Есть несколько программ, с помощью которых злоумышленники могут угадывать или взламывать пароли. Выбирая надежные пароли и сохраняя их конфиденциальность, вы можете затруднить несанкционированный доступ к вашей информации.

Зачем нужны надежные пароли

Вы, вероятно, используете личные идентификационные номера (ПИН-коды), пароли или парольные фразы каждый день: от получения денег в банкомате или использования дебетовой карты в магазине до входа в свою электронную почту или в интернет-магазин.Отслеживание всех комбинаций цифр, букв и слов может быть неприятным, но эти меры защиты важны, потому что хакеры представляют реальную угрозу для вашей информации. Часто атака связана не конкретно с вашей учетной записью, а с использованием доступа к вашей информации для запуска более крупной атаки.

Один из лучших способов защитить информацию или материальную собственность - обеспечить доступ к ней только авторизованным лицам. Следующим шагом будет проверка того, что те, кто запрашивает доступ, являются людьми, которых они называют. Этот процесс аутентификации более важен и сложен в кибер-мире. Пароли являются наиболее распространенным средством аутентификации, но работают только в том случае, если они сложны и конфиденциальны. Многие системы и службы были успешно взломаны из-за небезопасных и неадекватных паролей. Как только система скомпрометирована, она открыта для использования другими нежелательными источниками.

Как выбрать хорошие пароли

Избегайте типичных ошибок

Большинство людей используют пароли, основанные на личной информации и легко запоминающиеся.Однако это также упрощает их взлом. Рассмотрим четырехзначный PIN-код. У вас комбинация месяца, дня или года вашего дня рождения? Там есть ваш адрес или номер телефона? Подумайте, как легко найти информацию о дне рождения или аналогичную информацию. Как насчет вашего пароля электронной почты - это слово можно найти в словаре? Если это так, он может быть уязвим для атак по словарю, которые пытаются угадать пароли на основе общих слов или фраз.

Хотя преднамеренная ошибка в написании слова («daytt» вместо «date») может обеспечить некоторую защиту от атак по словарю, еще лучший метод - это полагаться на серию слов и использовать методы запоминания или мнемонику, чтобы помочь вам вспомнить, как расшифровать это.Например, вместо пароля «обручи» используйте «IlTpbb» для «[I] [l] ike [T] o [p] lay [b] asket [b] all» ». Использование строчных и заглавных букв добавляет еще один уровень неясности. Измените тот же пример, использованный выше, на "Il! 2pBb." создает пароль, очень отличный от любого словарного слова.

Длина и сложность

Национальный институт стандартов и технологий (NIST) разработал специальные инструкции по созданию надежных паролей. Согласно рекомендациям NIST, вам следует по возможности использовать максимально длинный пароль или кодовую фразу (8–64 символа).Например, "Pattern2baseball # 4mYmiemale!" будет надежным паролем, потому что он состоит из 28 символов и включает прописные и строчные буквы, цифры и специальные символы. Возможно, вам придется попробовать разные варианты парольной фразы - например, некоторые приложения ограничивают длину паролей, а некоторые не принимают пробелы или определенные специальные символы. Избегайте общих фраз, известных цитат и текстов песен.

Что можно и нельзя

Как только вы придумали надежный, запоминающийся пароль, возникает соблазн использовать его повторно - не делайте этого! Повторное использование пароля, даже надежного, подвергает вашу учетную запись такой же опасности, как и использование ненадежного пароля.Если злоумышленники угадают ваш пароль, они получат доступ к другим вашим учетным записям с тем же паролем. Используйте следующие методы для разработки уникальных паролей для каждой из ваших учетных записей:

  • Используйте разные пароли в разных системах и учетных записях.
  • Используйте самый длинный пароль или парольную фразу, разрешенную каждой парольной системой.
  • Разработайте мнемонику для запоминания сложных паролей.
  • Рассмотрите возможность использования программы менеджера паролей для отслеживания ваших паролей.(См. Дополнительную информацию ниже.)
  • Не используйте пароли, основанные на личной информации, к которой можно легко получить доступ или которую можно угадать.
  • Не используйте слова, которые можно найти в словаре любого языка.

Как защитить свои пароли

После выбора пароля, который легко запомнить, но трудно угадать другим, не записывайте его и не оставляйте где-нибудь, где его могут найти другие. Записав его и оставив на столе, рядом с компьютером или, что еще хуже, прикрепив к компьютеру, он сделает его легко доступным для тех, кто имеет физический доступ к вашему офису.Не сообщайте никому свои пароли и следите за тем, чтобы злоумышленники не пытались обмануть вас с помощью телефонных звонков или сообщений электронной почты с просьбой раскрыть свои пароли. (Для получения дополнительной информации см. Как избежать социальной инженерии и фишинговых атак. )

Программы, называемые менеджерами паролей, предлагают возможность создавать произвольно сгенерированные пароли для всех ваших учетных записей. Затем вы получаете доступ к этим надежным паролям с помощью мастер-пароля. Если вы используете менеджер паролей, не забудьте использовать надежный мастер-пароль.

Проблемы с паролями могут возникать из-за способности ваших веб-браузеров сохранять пароли и ваши онлайн-сеансы в памяти. В зависимости от настроек вашего веб-браузера любой человек, имеющий доступ к вашему компьютеру, может узнать все ваши пароли и получить доступ к вашей информации. Всегда не забывайте выходить из системы, когда вы используете общедоступный компьютер (в библиотеке, интернет-кафе или даже на общем компьютере в вашем офисе). Избегайте использования общедоступных компьютеров и общедоступных сетей Wi-Fi для доступа к конфиденциальным учетным записям, таким как банковские операции и электронная почта.

Нет гарантии, что эти методы помешают злоумышленнику узнать ваш пароль, но они усложнят задачу.

Для получения дополнительной информации о паролях, многофакторной аутентификации и связанных темах с паролями см. Дополнительные пароли.

Не забывайте основы безопасности

  • Регулярно обновляйте операционную систему, браузер и другое программное обеспечение.
  • Используйте и обслуживайте антивирусное программное обеспечение и брандмауэр.(См. Общие сведения о брандмауэрах.)
  • Регулярно проверяйте свой компьютер на наличие шпионского ПО. (Некоторые антивирусные программы включают обнаружение шпионского ПО.)
  • Будьте осторожны с вложениями электронной почты и ненадежными ссылками.
  • Следите за подозрительной активностью в своих учетных записях.

Как создать надежный пароль

Надежные пароли - один из способов защитить вашу конфиденциальность в Интернете. Вот как создать надежный пароль или кодовую фразу, которую вы запомните и никто не сможет угадать.

Что такое надежный пароль?

Надежный пароль для ваших онлайн-аккаунтов должен быть:

  • Действительно случайный
  • Не короче 17 знаков
  • Различное для каждого онлайн-аккаунта
  • Меняется каждые 90 дней

Вот некоторые способы использования паролей, которых следует избегать:

  • Не используйте общий формат «слово + число».
  • Не включайте общедоступную личную информацию, например дату рождения.
  • Не используйте общепринятые сокращения и замены (например, использование "@" вместо буквы "a").
@MIRAHNEVA через Twenty20

Что такое кодовая фраза?

Хотя большинство паролей представляют собой комбинации цифр, букв и символов, парольная фраза состоит из случайно скомбинированных слов. Например:

StingrayCobaltLyingStimulusLiquid 

Парольные фразы легче запомнить и сложнее угадать, чем стандартные пароли. Просто попробуйте запомнить первую букву каждого слова или превратите это в песню в своей голове.Чтобы защититься от словарных атак, вы должны использовать как минимум пять слов, и они должны быть действительно случайными. Вы же не хотите, чтобы фраза звучала как предложение.

Парольные фразы и генераторы паролей

Чтобы убедиться, что слова, которые вы выбираете, действительно случайны, используйте бесплатный генератор кодовых фраз, например Diceware или Secure Passphrase Generator. Для набора случайных букв и цифр используйте Norton Password Generator или Avast Random Password Generator. Многие учетные записи в Интернете предъявляют особые требования к паролю, поэтому вам может потребоваться добавить числа, специальные символы или сочетание прописных и строчных букв.

Как запоминать пароли

Настоятельно не рекомендуется использовать легко запоминающуюся информацию, например о вашем дне рождения или году окончания средней школы. Если у вас проблемы с запоминанием парольных фраз, другой способ - создать аббревиатуру из предложения. Например, «галлон молока в 1950 году стоил 32 цента» можно перевести как:

Agomutc $ .32bi1950 

Как правило, записывать пароли - не лучшая идея; однако вы можете записать фразу в качестве напоминания, и никто не узнает, что она означает, если найдет ее.Если у вас несколько учетных записей в Интернете, вам следует использовать диспетчер паролей, чтобы отслеживать свои учетные данные.

Используйте менеджер паролей

Как бы соблазнительно это ни звучало, вы не должны использовать одну и ту же комбинацию имени пользователя и пароля для всех своих учетных записей в Интернете. У каждой учетной записи должен быть свой уникальный сложный пароль. К счастью, вам не нужно запоминать их все по отдельности.

Вместо этого вы можете использовать менеджер паролей. Таким образом, вы можете войти в любую учетную запись, введя основной пароль для менеджера паролей.Некоторые из лучших программ менеджеров паролей также имеют встроенные генераторы паролей.

Если вы хотите узнать, насколько надежен ваш пароль, используйте средство проверки пароля, например Password Meter.

Многофакторная аутентификация

Независимо от надежности вашего пароля, всегда рекомендуется защищать свои учетные записи в Интернете с помощью двухфакторной аутентификации (2FA), когда это возможно. Когда вы включаете двухфакторную аутентификацию для Gmail и других служб, вы будете получать проверочный код в текстовом сообщении или по электронной почте каждый раз при входе в систему.Большинство банковских услуг и веб-сайтов социальных сетей поддерживают те или иные формы 2FA.

Помимо ваших онлайн-аккаунтов, вам также нужны надежные пароли для всех ваших устройств, особенно если вы носите их с собой в общественных местах. Помимо паролей, большинство операционных систем поддерживают некоторые формы биометрической проверки. Например, Windows Hello использует технологию распознавания лиц, а Apple Touch ID использует сканер отпечатков пальцев, чтобы определить, кто пытается получить доступ к вашей учетной записи.

Почему так важны надежные пароли?

Пароли защищают ваши учетные записи в Интернете от других людей, использующих тот же компьютер.Что еще более важно, они защищают вас от хакеров, которые хотят украсть вашу личную информацию. Например, если кто-то знает ваш пароль электронной почты, он может многое узнать о вас, в том числе о том, где вы находитесь в банке, где вы работаете и где вы живете. Украденные пароли часто продаются на черном рынке в гнусных целях.

Хакеры используют несколько методов для кражи паролей, в том числе:

  • Атаки грубой силы : Атака грубой силы использует автоматизированное программное обеспечение для подбора паролей с использованием случайных комбинаций символов.
  • Атаки по словарю : Подобно атакам методом грубой силы, для подбора паролей используются случайные словосочетания.
  • Фишинг : Хакеры напрямую запрашивают личную информацию, используя фишинговые электронные письма, роботы или вводящие в заблуждение ссылки для получения паролей от пользователей.
  • Утилизация учетных данных : Если у хакера есть ваше имя пользователя и пароль для одной учетной записи, он, скорее всего, попытается использовать те же учетные данные для других ваших учетных записей.

Что делать, если кто-то получил ваши пароли

Если вы подозреваете, что один из ваших паролей был взломан:

  • Создайте новый, более надежный пароль.
  • Измените пароли всех связанных учетных записей.
  • Обновите информацию для восстановления учетной записи.
  • Следите за своим банковским счетом на предмет несанкционированных покупок.

Как узнать, был ли взломан мой пароль?

Ваши имена пользователей и пароли могут быть скомпрометированы не по вашей вине. Несколько известных компаний, таких как Facebook и Sony, стали жертвами утечки данных, в результате которой были раскрыты учетные данные пользователей.Вы можете посетить веб-сайт Avast Hack Check и ввести свой адрес электронной почты, чтобы узнать, не была ли нарушена ваша конфиденциальность. В таком случае вам следует изменить пароли для всех учетных записей, связанных с этим адресом электронной почты.

Задайте контрольные вопросы и информацию для восстановления учетной записи, когда это возможно, для дополнительной защиты ваших учетных записей.

Спасибо, что сообщили нам!

Расскажите, почему!

Другой Недостаточно подробностей Сложно понять

Руководство по управлению паролями - Управление информационной безопасности - Вычислительные услуги

Назначение

Целью данного Руководства является обучение студентов, преподавателей и сотрудников Университета Карнеги-Меллона («Университет») характеристикам надежного пароля, а также предоставление рекомендаций по безопасному хранению паролей и управлению ими.

Относится к

Настоящее Руководство распространяется на всех студентов, преподавателей и сотрудников, у которых есть имя пользователя и пароль хотя бы к одной университетской системе или приложению, независимо от того, являетесь ли вы конечным пользователем или системным администратором этой системы или приложения.

Определения

Надежный пароль - это пароль, который достаточно сложно угадать за короткий промежуток времени либо путем угадывания человеком, либо с помощью специального программного обеспечения.& * () _- + =) Надежный пароль не должен -
  • Назовите слово или серию слов, которые можно найти в стандартном словаре
  • Произнесите слово с добавлением числа в начало и конец
  • Основываться на любой личной информации, такой как идентификатор пользователя, фамилия, домашнее животное, день рождения и т. Д.

Ниже приведены несколько рекомендаций по поддержанию надежного пароля:

  • Не сообщайте свой пароль никому ни по какой причине

    Запрещается передавать пароли никому, включая студентов, преподавателей или сотрудников. В ситуациях, когда кому-то требуется доступ к защищенным ресурсам другого человека, следует изучить варианты делегирования разрешений. Например, календарь Microsoft Exchange позволяет пользователю делегировать управление своим календарем другому пользователю без использования каких-либо паролей. Этот тип решения приветствуется. Запрещается разглашать пароли даже для ремонта компьютера. Альтернативой этому является создание новой учетной записи с соответствующим уровнем доступа для ремонтника.

  • Сменить пароль при обнаружении компрометации

    Если вы подозреваете, что кто-то взломал вашу учетную запись, немедленно измените пароль. Обязательно смените пароль с компьютера, которым вы обычно не пользуетесь (например, компьютер университетского кластера). После сброса пароля сообщите об инциденте администратору местного отдела и / или в отдел информационной безопасности по адресу [email protected]

  • Рассмотрите возможность использования кодовой фразы вместо пароля

    Парольная фраза - это пароль, состоящий из последовательности слов, в которые вставлены цифровые и / или символьные символы. Парольной фразой может быть отрывок из песни или любимая цитата. Парольные фразы обычно имеют дополнительные преимущества, например, они длиннее и легче запоминаются. Например, кодовая фраза «Мой пароль - $ uper str0ng!» состоит из 28 символов и включает буквенные, числовые и специальные символы. Его также относительно легко запомнить. Важно отметить размещение числовых и символьных символов в этом примере, поскольку они предотвращают обнаружение нескольких слов в стандартном словаре.Использование пробелов также затрудняет подобрать пароль.

  • Не записывайте свой пароль и не храните его в небезопасном виде

    Как правило, вам следует избегать записи пароля. В случаях, когда необходимо записать пароль, этот пароль следует хранить в безопасном месте и должным образом уничтожить, когда он больше не нужен (см. Рекомендации по защите данных). Использование диспетчера паролей для хранения паролей не рекомендуется, если диспетчер паролей не использует надежное шифрование и не требует аутентификации перед использованием. ISO проверил несколько менеджеров паролей, которые соответствуют этим требованиям.

  • Избегайте повторного использования пароля

    При изменении пароля учетной записи следует избегать повторного использования предыдущего пароля. Если учетная запись пользователя была ранее скомпрометирована, сознательно или неосознанно, повторное использование пароля может позволить этой учетной записи снова стать скомпрометированной. Точно так же, если по какой-то причине был предоставлен общий пароль, повторное использование этого пароля может позволить кому-либо неавторизованный доступ к вашей учетной записи.

  • Избегайте использования одного и того же пароля для нескольких учетных записей

    Хотя использование одного и того же пароля для нескольких учетных записей упрощает запоминание паролей, это также может иметь цепной эффект, позволяющий злоумышленнику получить несанкционированный доступ к нескольким системам. Это особенно важно при работе с более конфиденциальными учетными записями, такими как учетная запись Andrew или учетная запись в онлайн-банке. Эти пароли должны отличаться от пароля, который вы используете для обмена мгновенными сообщениями, веб-почты и других учетных записей в Интернете.

  • Не использовать функцию автоматического входа в систему

    Использование функции автоматического входа в систему сводит на нет большую часть пользы от использования пароля. Если злоумышленник может получить физический доступ к системе, в которой настроен автоматический вход, он или она сможет получить контроль над системой и получить доступ к потенциально конфиденциальной информации.

Ниже приведены рекомендации для лиц, ответственных за предоставление и поддержку учетных записей пользователей:

  • Применять надежные пароли

    Многие системы и приложения включают функции, которые не позволяют пользователю установить пароль, не соответствующий определенным критериям.Подобная функциональность должна использоваться для обеспечения установки только надежных паролей.

  • Требовать смены начального или «первого» пароля

    Принуждение пользователя к изменению исходного пароля помогает гарантировать, что только этот пользователь знает свой пароль. В зависимости от того, какой процесс используется для создания и передачи пароля пользователю, эта практика также может помочь снизить риск угадывания или перехвата исходного пароля во время передачи пользователю.Это руководство также применимо к ситуациям, когда пароль необходимо сбросить вручную.

  • Принудительное истечение срока действия начального или «первого пароля»

    В определенных ситуациях пользователю может быть выдана новая учетная запись, и он не сможет получить доступ к этой учетной записи в течение определенного периода времени. Как упоминалось ранее, исходные пароли имеют более высокий риск быть угаданными или перехваченными в зависимости от того, какой процесс используется для создания и распространения паролей. Принуждение к истечению срока действия первоначального пароля через определенный период времени (например,грамм. 72 часа) помогает снизить этот риск. Это также может быть признаком того, что учетная запись не нужна.

  • Не использовать данные с ограниченным доступом для первоначального или «первого» пароля

    Руководство по классификации данных определяет данные с ограничениями в своей схеме классификации данных. Данные с ограниченным доступом включают, помимо прочего, номер социального страхования, имя, дату рождения и т. Д. Этот тип данных не должен использоваться полностью или частично для формулирования первоначального пароля. См. Приложение A для более полного списка типов данных.

  • Всегда проверять личность пользователя перед сбросом пароля

    Перед сбросом пароля необходимо всегда проверять личность пользователя. Если запрос направлен лично, достаточно удостоверения личности с фотографией. Если запрос поступает по телефону, подтвердить личность намного сложнее. Один из способов сделать это - запросить видеоконференцию с пользователем (например, Skype), чтобы сопоставить человека с его идентификатором фотографии. Однако это может быть обременительным процессом.Другой вариант - попросить менеджера позвонить и подтвердить запрос. По очевидным причинам это не сработает для запросов студентов. Если доступно, решение для самостоятельного сброса пароля, предлагающее пользователю ряд настраиваемых вопросов, является эффективным подходом к решению проблемы сброса пароля.

  • Никогда не спрашивайте пароль пользователя

    Как указано выше, пароли учетных записей отдельных пользователей не должны сообщаться по какой-либо причине. Естественное соответствие этому руководству - никогда не спрашивать пароли у других.Еще раз, делегирование полномочий - это одна из альтернативных способов запрашивать у пользователя пароль. Некоторые приложения включают в себя функции, которые позволяют администратору выдавать себя за другого пользователя, не вводя пароль этого пользователя, но при этом связывают действия с учетной записью администратора. Это тоже приемлемая альтернатива. В ситуациях ремонта компьютеров одной из альтернатив является запрос на создание пользователем временной учетной записи в своей системе.

Ниже приводится несколько дополнительных рекомендаций для лиц, ответственных за разработку и внедрение систем и приложений:

  • Изменить пароли учетной записи по умолчанию

    Учетные записи по умолчанию часто являются источником несанкционированного доступа злоумышленников.По возможности их следует полностью отключить. Если учетную запись невозможно отключить, пароли по умолчанию следует изменить сразу после установки и настройки системы или приложения.

  • Внедрить строгий контроль паролей системного уровня и общих учетных записей служб

    Учетные записи общих служб обычно обеспечивают повышенный уровень доступа к системе. Учетные записи системного уровня, такие как root и Administrator, обеспечивают полный контроль над системой.Это делает эти типы учетных записей очень уязвимыми для злонамеренных действий. В результате следует использовать более длинный и сложный пароль. Учетные записи системного уровня и общие учетные записи служб обычно имеют решающее значение для работы системы или приложения. Из-за этого эти пароли часто известны более чем одному администратору. Пароли следует менять каждый раз, когда кто-то, знающий пароль, меняет должностные обязанности или увольняется. Использование таких учетных записей, как root и Administrator, также должно быть максимально ограничено.Следует изучить альтернативы, такие как использование sudo вместо root и создание уникальных учетных записей для администрирования Windows вместо использования учетных записей по умолчанию.

  • Не используйте один и тот же пароль для нескольких учетных записей администраторов

    Использование одного и того же пароля для нескольких учетных записей может упростить администрирование систем и приложений. Однако такая практика также может иметь цепной эффект, позволяя злоумышленнику проникнуть в несколько систем в результате компрометации одного пароля учетной записи.

  • Запретить передачу паролей в виде обычного текста

    Пароли, передаваемые в виде обычного текста, могут быть легко перехвачены кем-либо со злым умыслом. Такие протоколы, как FTP, HTTP, SMTP и Telnet, изначально передают данные (включая ваш пароль) в виде обычного текста. Безопасные альтернативы включают передачу паролей через зашифрованный туннель (например, IPSec, SSH или SSL), использование одностороннего хеширования или реализацию схемы аутентификации на основе билетов, такой как Kerberos.Свяжитесь с отделом информационной безопасности по адресу [email protected], если вы хотите получить оценку средств проверки подлинности вашего приложения.

  • Не храните пароли в легкообратимом виде

    Пароли не должны храниться или передаваться с использованием слабых алгоритмов шифрования или хеширования. Например, алгоритм шифрования DES и алгоритм хеширования MD-4 имеют известные недостатки безопасности, которые могут позволить дешифровать защищенные данные. Алгоритмы шифрования, такие как 3DES или AES, и алгоритмы хеширования, такие как SHA-1 или SHA-256, являются более сильными альтернативами ранее упомянутым алгоритмам. Свяжитесь с отделом информационной безопасности по адресу [email protected], если у вас есть вопросы, связанные с использованием определенного алгоритма шифрования и хеширования.

  • Реализовать автоматическое уведомление об изменении или сбросе пароля

    При изменении или сбросе пароля электронное письмо должно быть автоматически отправлено владельцу этой учетной записи. Это предоставляет пользователю подтверждение того, что изменение или сброс был успешным, а также предупреждает пользователя, если его или ее пароль был изменен или сброшен по незнанию.

Дополнительная информация

Если у вас есть какие-либо вопросы или комментарии, связанные с этим Руководством, отправьте электронное письмо в Управление информационной безопасности университета по адресу [email protected]

Дополнительную информацию также можно найти на следующих ресурсах:

История изменений

Версия Дата публикации
Автор
Описание
1. 0 01.12.2007 Дуг Маркевич Оригинальная публикация. Заменяет рекомендации по надежности паролей и рекомендации по совместному использованию паролей.
1,1 14.05.2008 Дуг Маркевич Обновлена ​​неработающая ссылка в дополнительной информации.
1,2 12.09.2012 Дуг Маркевич Обновлены устаревшие ссылки на дополнительные ресурсы.
1.3 24.03.2014 Виам Юнес Обновлена ​​информация о процедуре взлома пароля и пример проверки личности пользователя.
1,4 14.09.2017 Лаура Радерман Обновлены ссылки на новый сайт Computing Services и отформатированы для новых шаблонов CMS

Статус Дата публикации
Опубликовано: 01.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *