Влияет ли в действительности сложность пароля на безопасность аккаунта?

nadezhnye-paroli-1-614x373.jpg

Известно, что 1% пользователей сети то ли из-за лени, то ли из-за халатности при регистрации предпочитают использовать примитивные комбинации, которые можно подобрать с 3-4 попыток. Примеры — «123456», «qwerty», «mypassword». Это, безусловно, является очень большой глупостью. «Лёгкий» ключ для пользователя является «лёгким» и для взломщика.

nadezhnye-paroli-2-494x624.jpg

Эта статья расскажет вам о том, как составлять надёжные пароли и как проверить их на устойчивость к взлому.

Хорошие ключи от учётной записи имеют следующие характеристики:

1. Длина не меньше 10-15 символов (самые устойчивые комбинации и того больше — 20-35 символов).

2. Символьный состав: большие и маленькие английские буквы, цифры, спецсимволы.

3. В комбинации отсутствуют словарные слова (parol, kod, vhod), личные данные (номер телефона, имя, e-mail и т.д.), логические последовательности букв и цифр (1234, 246810, abcdefg).

Чем сложнее, надёжнее комбинация, тем труднее сделать её подбор. Чтобы установить придуманную пользователем последовательность из 12 знаков, может понадобиться свыше 1,5 млн. лет.

nadezhnye-paroli-3-436x579.jpg

Рядовые пользователи Сети и специалисты по безопасности уже нашли множество правильных ответов-решений на вопрос «Как создать надёжный пароль?». В рамках этой статьи мы познакомимся с тремя наиболее практичными способами.

Не на всех первых мобильных телефонах поддерживался русский язык, и их владельцы отправляли СМС-ки, используя транслитерацию. То есть писали латинскими буквами по-русски, а недостающие литеры заменяли символами. Например: «ч» — «4». Фраза «Что делаешь?», выглядела как «4to delaesh?». Этот же принцип лежит и в основе данного способа составления ключей.

nadezhnye-paroli-4-640x287.jpg

Возьмите какое-нибудь слово или словосочетание, а затем запишите его с использованием «хитрых» обозначений. Вместо пробелов можно использовать в качестве разделителей любые спецсимволы «~», «/», «.» и др. Например, можно придумать такую комбинацию:

«Опасная зона» запишем как «onACHA9I#3OHA».

Как видите, слова мы записали латинскими буквами и вдобавок заменили кое-какие русские литеры. Вместо «п» — «n», «я» — «9I», «з» — «3» (цифра «три»). И поставили разделитель «#» между словами. Вот и получился достаточно сложный вариант. Чтобы разгадать такой тип символьного сочетания, компьютерным злодеям придётся как следует покорпеть.

В помощь таблица символьных обозначений русских букв:

nadezhnye-paroli-5-266x700.jpg

1. Откройте в браузере онлайн-сервис — http://genpas.peter23.com/.

2. В опции «Режим работы» клацните радиокнопку «Произносимый пароль… ».

3. Дополнительно включите/отключите символьные наборы для комбинаций ключа и установите его длину.

nadezhnye-paroli-6-640x505.jpg

4. Нажмите кнопку «Генерировать».

5. Выберите наиболее оптимальный вариант из генерированных последовательностей.

6. Разбейте выбранный пароль на фрагменты из 2-3 символов и придайте каждому фрагменту определённый смысл. В такой «логической цепочке» очень легко запомнить самую сложную комбинацию. В качестве примера давайте разберём ключ, созданный в этом генераторе:

Xoh)ohfo1koh

  • Xoh) — можно прочитать как «Хох» + «смайлик»;
  • oh — «ох»;
  • fo1 — пусть это будет какая-то загадочная аббревиатура;
  • koh — кох — опять вариация начального слога.

1. Возьмите за основу какое-либо хорошо знакомое вам слово:

space2017

2. Придумайте сочетание спецсимволов из 2 или 3 знаков.

«+_&»

3. Добавьте сочетание в начале и в конце слова в зеркальном отображении.

+_&space2017&_+

4. В итоге вы получите достаточно «крепкий» ключ. Безусловно, его нельзя назвать самым устойчивым, однако он легко запоминается и по своей структуре не является примитивным.

Внимание! Перед составлением пароля обязательно ознакомьтесь с требованиями сервиса, на котором регистрируетесь. К примеру, на портале Майл.ру нельзя использовать кириллицу (русские буквы).nadezhnye-paroli-7-640x135.jpg

Проанализировать устойчивость выбранной комбинации можно на специальных сервисах.

Предоставляет пользователю подробный анализ указанной комбинации (символьные наборы, длину), а также оценивает её сложность в процентах.

nadezhnye-paroli-8-640x438.jpg

Сообщает о том, сколько времени понадобится на подбор указанного ключа. Предупреждает о недопустимых (примитивных) символьных последовательностях.

nadezhnye-paroli-9-640x283.jpg

Пользуйтесь только надёжными паролями! Они являются залогом вашей безопасности в Сети.

Видео по теме:

  • Embedded thumbnail
  • Embedded thumbnail
  • prid-parol.jpgКак можно придумать надежный пароль

slozhnye-paroli.jpgКак составляются сложные паролиgenerator-parol-login.jpgКак сгенерировать пароль онлайнИнформационная безопасностьМногие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких:

'password' => [     'required',     'confirmed',     'min:8',     'regex:/^(?=S*[a-z])(?=S*[A-Z])(?=S*[d])S*$/', ];

К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1. С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию. Некоторые специалисты говорят, что это не лучший вариант. В реальности Abcd1234 и Password1 — плохие пароли, а mu-icac-of-jaz-doad — хороший пароль. В этом несложно убедиться. Вот первые два пароля.

А вот два пароля, которые не пройдут проверку на надёжность.
Что же делать? Может, не стоит принуждать к использованию спецсимволов и внедрять всё новые правила, вроде запрета на повтор нескольких символов подряд, использование не одного, а двух-трёх спецсимволов и цифр, увеличение минимальной длины пароля и т д. Вместо всего этого достаточно сделать простую вещь — просто установить ограничение на минимальную энтропию пароля, и всё! Можно использовать для этого готовый оценщик zxcvbn. Есть и другие решения, кроме zxcvbn. Буквально на прошлой неделе на конференции по безопасности ACM Computer and Communications Security была представлена научная работа (pdf) специалистов по безопасности из научно-исследовательского подразделения Symantec Research и французского исследовательского института Eurecom. Они разработали новую программу для проверки надёжности паролей, которая оценивает примерное количество необходимых попыток брутфорса, используя метод Монте-Карло. Предлагаемый способ отличается тем, что требует минимальное количество вычислительных ресурсов на сервере, подходит для большого количества вероятностных моделей и в то же время довольно точный. Метод проверили на паролях из базы 10 млн паролей Xato, которые лежат в открытом доступе (копия на Archive.org) — он показал хороший результат. Правда, это исследование Symantec Research и Eurecom носит скорее теоретический характер, по крайней мере, свою программу они не выложили в открытый доступ в каком-либо приемлемом виде. Тем не менее, смысл работы понятен: вместо эвристических правил проверки паролей веб-сайтам желательно внедрить проверку на энтропию.

Главная >> Безопасность работы в Интернете >> Проверка надежности вашего пароля

Какие пароли вы предпочитаете использовать в онлайн-сервисах? Простые и легко запоминающиеся, вроде «123456» или «alex1985»? В таком случае будьте готовы, что вашу учетную запись в любой момент могут «увести», и бывает так, что вернуть ее потом уже невозможно! Но избежать такой неприятности достаточно легко: нужно создавать такие пароли, которые практически невозможно взломать! Проверьте устойчивость вашего пароля ко взлому на этой странице, и если ваш результат окажется низким — делайте выводы!

Рекомендации по созданию устойчивого ко взлому пароля:

  • Длина пароля должна быть не менее 8 символов. Используйте буквы как нижнего так и верхнего регистра. Используйте цифры. Пароль не должен состоять только из букв или только из цифр. Сочетайте цифры и буквы (прописные и строчные).
  • Добавление спецсимволов (!,@,#,$,%,^,&,*,?,_,~) в значительной мере повышает надежность пароля.

Для упрощения создания паролей предлагаю вам воспользоваться простой онлайн-утилитой — ГЕНЕРАТОРОМ ПАРОЛЕЙ.

Используемые источники:

  • https://webereg.ru/prochee/sozdanie-proverka-parolya-nadezhnost
  • https://m.habr.com/ru/post/356892/
  • http://earninguide.biz/passwordmeter.php

Ссылка на основную публикацию