Как создать безопасный пароль

Как безопасно использовать и хранить пароли

1. Каким должен быть пароль?

Пароль должен быть сложным. Сложный пароль состоит из минимум восьми символов, включая большие и маленькие буквы, цифры и специальные символы. Пример такого пароля: «oPQ0nz$Hx4%!».

Не составляйте пароль из личных данных (имени, фамилии, никнейма, прозвища, важных дат, номеров телефонов, ИНН, СНИЛС, возраста или адреса) и очевидных слов, фраз или наборов символов. Примеры простых паролей: Ivanov1956, password, qwerty, 1234567.

Для каждого сайта необходимо создавать отдельный пароль. Использовать один и тот же пароль для нескольких сайтов небезопасно.

2. Как придумать надежный пароль и запомнить его?

Вы можете составить надежный пароль одним из следующих способов:

Чтобы запомнить, какой пароль для какого сайта вы создали:

Используйте единую основу для всех своих паролей. Решите:

3. Где хранить пароли?

Для хранения паролей используйте:

По возможности не храните аутентификационную информацию в менеджерах паролей зарубежных компаний, таких как диспетчер паролей Google. Если у вас есть действующие пароли, которые хранятся в таких менеджерах, смените их.

Не храните пароли на листке бумаги, прикрепленном к монитору или клавиатуре, в текстовом документе на рабочем столе, на флешке или в памяти телефона — это небезопасно.

Отключите автозаполнение форм и сохранение паролей во всех браузерах, в том числе на мобильных устройствах, очистите cookie и измените ранее сохраненные пароли на значимых ресурсах.

4. Как защитить свои аккаунты?

Проверьте параметры восстановления пароля

Злоумышленники могут взломать электронную почту через стандартный функционал почтового сервиса «Восстановить пароль». Для защиты обычно используется секретный вопрос. Выберите такой ответ на него, который будет сложно угадать, например: «Ваше любимое животное?» — «Глобус».

Используйте двухфакторную аутентификацию

Инструкции по включению двухфакторной аутентификации, как правило, размещаются в справочных разделах сайтов.

Регулярно меняйте пароли

Меняйте пароли каждые три месяца или при признаках доступа к вашим данным. Обращайте внимание на публикации в СМИ об утечках паролей или персональных данных с ресурсов, которыми вы пользуетесь. Чтобы не придумывать каждый раз совершенно новый пароль, вы можете добавлять в базовый пароль, например, вторую и четвертую буквы месяца, в котором вы поменяли пароль, и его порядковый номер в году.

Придумать надежный пароль и запомнить его | Интернет без бед

Как сгенерировать уникальный пароль и запомнить его без программ?

Тебе нужен пароль? Тебе нужен длинный пароль? Тебе нужен длинный пароль с цифрами, заглавной буквой и спецсимволом? Ты его получишь и запомнишь, обещаю! Я расскажу тебе один проверенный прием.

Не важно, где ты регистрируешься, на любом сайте ты оставляешь личную информацию о себе, защищенную паролем. Чем раньше ты придумаешь себе сложный и уникальный пароль, тем быстрее приучишь себя к порядку и сделаешь все возможное, чтобы твои учетные записи не были взломаны.

Да, сейчас наиболее важные сервисы используют двухфакторную авторизацию. Даже узнав твой пароль, мошенник не войдет в учетку, так как вход надо подтвердить кодом, который пришел к по смс на твой телефон.

Чем популярнее сайт, тем сложнее у него требования к паролю. Уже недостаточно иметь просто длинный пароль, наверняка уже не раз встречался с назойливыми и, порой, неадекватными требованиями.

Формула

Всё дело в Формуле. Она состоит из 4 частей.

Сначала тебе потребуется простое слово. Желательно, чтобы это слово легко переводилось на английский и содержало не меньше 5 символов. Для примера возьмем слово пианино. И пишем так, будто оно расположено в начале приложения, с большой буквы: Pianino.

Затем понадобится комбинация из цифр, 2-3 достаточно. Желательно не иметь повторений символов и подряд идущих цифр. Некоторым сайтам это может не понравиться. Возьми число твоего рождения или счастливое число, чтобы легче запоминать.

3 части пароля готовы. И теперь вишенка на торте. Выбирай любой спецсимвол, который тебе нравится, пусть будет знак вопроса “?”.

Финальный аккорд. Записываем пароль по формуле, которую ты сам себе сейчас сочинишь, расположив эти части как тебе угодно.

Формулу компонуем по принципу:

Вот лишь некоторые примеры, что может получиться:

Главное запомнить формулу, по которой ты будешь его генерировать. Экспериментируй с вариантами и дальше, перемещай заглавную букву, дублируй части и так далее.

Резюме

Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома, так как нет гарантии, что пароль не будет скомпрометирован самим сервисом, где ты его вбивал. Однако, гарантирую, что он удовлетворяет подавляющему большинству сайтов с самыми жесткими требованиями к паролям и то, что такого пароля нет ни в каких базах паролей. А самое главное, что если такой пароль похитят, то он не сможет быть применен в другом месте, так как он уникален за счет частички адреса.

Интернет без бед на весьма неплохом канале

Данная статья в видео формате.

Уважаемый, хочу представить твоему вниманию проект «Интернет без бед».

Советы и приемы, которыми может воспользоваться каждый пользователь домашнего компьютера, чтобы обезопасить себя в интернете, а не только профессионал в этой области.

Контент только начинаю генерить. Буду откровенно рад любым замечаниям или вопросам, которые не дают спать спокойно, от продвинутой аудитории на Хабре. Спасибо.

Телеграм-канал о безопасности в сети: https://t.me/internetnotbad

PS> UPD. 20.11.2020

Спасибо сообществу за активную жизнь в комментариях. Это очень полезно и все вы по-своему правы.

Как я и говорил, цель статьи: предложить легкую для запоминания в уме формулу создания пароля с всеми требуемыми самой жесткой парольной политикой составляющими. Помочь тем людям, которые не хотят связываться с доп. ПО, но им приходится выдумывать пароли с усложнениями из-за этих требований, после чего они их благополучно забывают.

Вопрос надежности тут стоит довольно просто: любой такой пароль будет сложнее подобрать, чем просто набор строчных букв. Проверил на сайте https://www.security.org/how-secure-is-my-password/

Проверка пароля по формуле

Для аналитики могу предложить почитать статью:

Как сделать пароль надежным и запоминающимся

Пароли стоят на страже наших данных. И степень их надежности играет важную роль. Понятно, что сложный пароль и взломать будет непросто. Вот только личных счетов и систем, требующих авторизацию, очень много. И помнить десятки, если не сотни различных комбинаций из символов — практически невозможно.

Как сделать пароль более надежным и при этом его не забыть? Есть несколько вариантов…

Шифр простой замены

Шифры замены — класс методов шифрования, существующий практически столько же, сколько и алфавит. Его суть состоит в замене букв другими буквами, числами или символами (отсылка к криптографии).

Не углубляясь в особенности и тонкости шифра, можно выбрать самый простой метод шифрования — тот, где заменяется каждая буква следующей за ней в алфавите. Для примера возьмем слова «cat» и «dog». Зашифровываем: за с в алфавите идет d (c=d), за a будет b (a=b), ну и за t следует u (t=u). Ta же формула и для второго слова: d=e, o=p, g=h. В результате получаем два шифра — dbu и eph.

Шифр простой замены букв (через две)

Шифр простой замены нельзя назвать очень уж надежным. Его совсем не сложно взломать, если сопоставить несколько зашифрованных предложений или знать принципы использования. Но можно поэкспериментировать и разнообразить метод. Например, задать собственный порядок замены букв, добавить числа и т.д.

Один из вариантов шифрования, описанного в рассказе Конана Дойля «Пляшущие человечки»

Мнемонический код

Можно воспользоваться излюбленным методом фокусников и магов — мнемоникой. Она помогает визуализировать объект с помощью его полного описания, упрощая тем самым запоминание или идентификацию. Подобный принцип используется в известной поговорке про цвета радуги: «Каждый (Красный) охотник (Оранжевый) желает (Желтый) знать (Зеленый), где (Голубой) сидит (Синий) фазан (Фиолетовый)».

В упрощенном виде все выглядит примерно так: «а — это ананас, б — это банан, в — это вишня». Для построения пароля, используйте слова, соответствующие буквам.

Запоминание последовательности цветов радуги

Например, нужно создать пароль для сайта bank.com. Возьмем за основу код из первых двух букв от названия веб-ресурса «b» и «a». Согласно конструкции «b is for banana, a is for apple» получится «bananaapple». Добавьте между ними дефис и пароль приобретет еще и необходимый символ. А если объединить это все с шифром простой замены, пароль для bank.com станет по-истине надежным nsmsms=s[[;r.

Название сайта в конце пароля

Чтобы сделать пароль уникальным для каждого сайта (без необходимости его записывать) можно добавить название веб-ресурса в его конец.

Рассмотрим подробнее на примере все того же сайта bank.com. К выбранному паролю в конце добавим приставку «-bank». Получится более сложная конструкция, делающая пароль и понятным и сложным. Тоже самое проделываем с учетными записями в социальных сетях «-twitter», «-facebook» и «-linkedin» или сокращенные варианты вроде «-twit», «-face» и «-link».

Временные рамки

Есть компании, которые вынуждают своих клиентов менять пароли раз в полгода или год. Тут тоже можно найти решение. Просто добавляйте необходимый год, квартал к началу или концу пароля. Возьмем за основу уже знакомый пароль «banana», добавим к нему наступающий 2016 год и 1-й квартал. Получается banana-16-q1. А если произвести перемещения всего по одному ключу на клавиатуре, пароль существенно усложнится и обретет вид nsmsms=3-25=j3.

И вот — наш уникальный пароль, довольно сложный, надежный, который можно запомнить и без особого труда регулярно изменять (по месяцам или годам).

Размер имеет значение

Помимо шифровки стоит поговорить и о качестве самого пароля. Его длина имеет важное значение. Полный набор включает 26 строчных букв, 26 прописных и 10 цифр. Также в пароле может использоваться приблизительно 30 специальных знаков. Это все говорит о том, что для каждого символа, добавленного к паролю, число возможных вариантов увеличивается в 90 раз.

По словам генерального директора фирмы сетевой безопасности FlowTraq Винсента Берка:

Большинство веб-сайтов и компаний нуждаются в паролях, которые насчитывают комбинацию как минимум из 10 символов нижнего и верхнего регистра, при этом включают число и один или несколько специальных знаков

В последнее время специалисты по безопасности рекомендуют увеличивать длину пароля вообще до двенадцати знаков. По их мнению 12 — минимум. Данная теория сформировалась на основе исследования, которое было проведено в Технологическом институте (штат Джорджия, США). Исследователи использовали группы видеокарт, чтобы взломать восьмизначные пароли и пришли к выводу, что для этого достаточно двух-трех часов. Для взлома были задействованы графические процессоры — системные компоненты, разработанные для удовлетворения потребностей современных геймеров.

Пароли из семи символов квалифицируются, как «безнадежно несоответствующие». Исследователи, занимающиеся вопросами безопасности данных, пришли к заключению, что на взлом паролей из двенадцати символов с современными технологиями уйдет около 17,000 лет. Правда, технологическое развитие настолько стремительно, что сложно давать точные прогнозы.

Оригинальность пароля

Разумеется, не одна только длина делает пароль надежным. Он не должен быть легким для угадывания или предсказуемым. Например, пароль LadyGaga — хорош только для преданного поклонника или для самой певицы. Набор цифр 1234567890 тоже не пойдет — слишком очевидно, что даже ребенок может его взломать, набирая подряд все десять цифр на клавиатуре. Ненадежной будет и комбинация из серии password1234, пусть даже она состоит из двенадцати символов.

Стоит придумывать сложные и не распространенные пароли. Лучше избегать слов, которые можно найти в словарях любого языка. Популярные замены букв числами (0 вместо «o», 4 вместо «a») не играют особой роли. Не желательно повторять один и тот же пароль много раз. Хотя именно это и делают пользователи, согласно ноябрьскому исследованию RSA 69%. Результаты продемонстрировали, что потребители многократно используют однажды придуманный ими пароль (при том, что почти 50% из них были жертвами атак со стороны хакеров).

Предложения-подсказки

Большинство экспертов по безопасности сходятся во мнении, что пароли должны быть легко запоминающимися, но трудно угадываемыми. Слишком сложные и непонятные комбинации из символов попросту забудутся. А записывать пароли на стикерах, бумажках, в блокнотах или где-то еще — не самая удачная идея. Тут уж лучше ограничится подсказкой, понятной только хозяину, но не кому-то другому.

Один из параметров, делающий пароль более сложным, состоит в том, чтобы использовать действительно жесткие конструкции. Вряд ли кто-то сможет запомнить набор из двадцати знаков, вроде GdzIQaZyVaFgbh7dlu46. Фактически, такие пароли довольно «болезненно» использовать вообще. С другой стороны, их в самом деле будет трудно взломать. Подобные пароли хороши для систем, требующих особой безопасности и не используемых часто.

В качестве пароля можно использовать фразу, предварительно кодируя ее. Например на английском «I want to be at the beach» в кодировке может выглядеть, как iw2b@theBeach. Запоминающийся пароль, который будет достаточно сложным для взлома. Под каждую систему возможно подобрать различное окончание. Некоторые системы позволяют даже использовать полные предложение в качестве паролей. Такие пароли не забудутся и будут довольно надежными.

В целях повышения безопасности данных известным облачным хранилищем данных Dropbox был создан список из паролей, которые запрещено использовать. В списке находится около 85100 паролей.

А Университет Южного Уэльса провел исследования, результаты которого показали, что:
4,7% пользователей используют пароль password;
8,5% пользователей выбирают один из двух вариантов: password или 123456;
9,8% пользователей выбирают один из трёх вариантов: password, 123456 или 12345678;
14% пользователей выбирают один из 10 самых популярных паролей;
40% пользователей выбирают один из 100 самых популярных паролей;
79% пользователей выбирают один из 500 самых популярных паролей;
91% пользователей выбирает один из 1 000 самых популярных паролей.

Советы по созданию уникальных надежных паролей

Почему важно иметь надежный пароль

Надежный пароль – это главный барьер, который мешает взломать большинство ваших аккаунтов в сети. Если вы не пользуетесь современными методиками создания паролей, то вполне возможно, что мошенники смогут подобрать их буквально за несколько часов. Чтобы не подвергать себя риску кражи идентификационных данных и не стать жертвой вымогательства, вам нужно создавать пароли, которые могут противостоять усилиям хакеров, вооруженных современными средствами взлома.

Слабость вашего аккаунта – это настоящая мечта для киберпреступника. Но этим мечтам лучше никогда не сбываться, и поэтому вам нужно предпринять определенные действия, чтобы укрепить стойкость своих паролей.

Угрозы безопасности паролей

Скомпрометированные пароли открывают киберпреступникам доступ к вашим важнейшим личным данным. Так что вам нужны такие пароли, которые хакерам нелегко будет угадать или подобрать.

Большинство пользователей сейчас умеют создавать пароли, которые тяжело подобрать вручную. Когда-то этого было достаточно, чтобы противостоять краже данных. Помните, что преступники будут использовать любую информацию о вас, которую смогут найти, а также распространенные способы составления паролей, чтобы угадать ваш пароль. Когда-то вы могли использовать простую «хu7р0с7b» – подстановку похожих символов. Но сейчас она уже известна хакерам.

Современные киберпреступники используют сложные технологии, чтобы украсть ваши пароли. Это очень важно знать, потому что многие пытаются составлять пароли, которые трудно отгадать человеку, но не принимают в расчет существование эффективных алгоритмов и специальных программ, которые учитывают пользовательские «хитрости» при разгадывании паролей.

Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт:

Перебор по словарю: использование программы, которая автоматически комбинирует распространенные слова из словаря, используя их часто встречающиеся сочетания. Пользователи стараются придумывать пароли, которые легко запомнить, так что подобные методы взлома следуют очевидным шаблонам.

Данные из социальных сетей и другая раскрытая вами личная информация также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях.

При брутфорс-атаках используются автоматические программы, перебирающие все возможные сочетания символов до тех пор, пока не найдется ваш пароль. В отличие от перебора по словарю, брутфорс-алгоритмы с трудом справляются с длинными паролями. А вот короткие пароли в некоторых случаях удается подобрать буквально за несколько часов.

Фишинг – это попытка заставить вас самостоятельно отдать мошеннику деньги или важную информацию. Мошенники обычно пытаются выдать себя за представителей организаций, которым вы доверяете, или даже за ваших знакомых. Они могут позвонить вам по телефону, написать SMS, электронное письмо или сообщение в соцсетях. Кроме того, они могут пользоваться поддельными приложениями, сайтами или аккаунтами в социальных сетях. Если вы считаете, что вам нужна защита от фишинга, рекомендуем вам установить Kaspersky Internet Security.

Утечки данных – это еще одна опасность, угрожающая и паролям, и другой важной информации. Компании все чаще становятся жертвами взлома; хакеры могут продавать или публиковать украденные данные. Утечки данных представляют для вас особенно большую угрозу, если вы используете один и тот же пароль в разных местах: весьма вероятно, что ваши старые аккаунты могут быть скомпрометированы, и это открывает для злоумышленников доступ и к другим вашим данным.

Как создать надежный пароль

Чтобы защититься от новейших методов взлома, вам нужны сверхнадежные пароли. Если вы хотите узнать, насколько надежен ваш пароль, и повысить его стойкость, мы подготовили несколько вопросов и советов, которые помогут вам:

Типы надежных паролей

Существует два основных подхода к составлению надежных паролей.

Кодовые фразы основаны на сочетании нескольких существующих слов. В прошлом довольно часто использовались редкие слова с подстановкой символов и вставкой случайных символов посередине, например «Tr1Ck» вместо «trick» или «84sk37b4LL» вместо «basketball». Сейчас алгоритмы взлома уже знакомы с этим методом, так что хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке. Или, как вариант, – предложение, которое разбивается на части, и эти части расставляются по правилам, известным только пользователю.

Пример кодовой фразы – «коровА!жгИ%алыЙ?фагоТъ» (здесь использованы слова «корова», «жги», «алый» и «фагот»).

Кодовые фразы работают, потому что:

Цепочки случайных символов – это бессистемные сочетания символов всех видов. В таких паролях задействованы строчные и прописные буквы, символы и числа в случайном порядке. Поскольку расстановка символов не следует никакому определенному методу, угадать такой пароль невероятно трудно. Даже специализированным программам могут понадобиться триллионы лет, чтобы взломать такой пароль.

Пример цепочки случайных символов: «f2a_+Vm3cV*j» (ее можно запомнить, например, с помощью мнемонической фразы: «фрукты два ананаса подчеркнули и добавили VISA музыка 3 цента VISA умножает джинсы»).

Цепочки случайных символов работают, потому что:

Примеры надежных паролей

Теперь, когда вы ознакомились с типами надежных паролей и правилами их составления, давайте закрепим эти знания.

Для этого мы возьмем несколько примеров хороших паролей и попробуем сделать их еще лучше.

Пример 1: dAmNmO!nAoBiZPi?

Почему этот пароль считается надежным?

Как улучшить этот пароль?

Почему этот пароль считается надежным?

Как улучшить этот пароль?

Пример 3: яростьуткапростолуна

Почему этот пароль считается надежным?

Как улучшить этот пароль?

Как пользоваться паролями и как их запоминать

Пароли предоставляют вам доступ ко множеству важных сервисов, так что храните их как можно надежнее.

Чтобы обеспечить безопасность:

Вместо этого пользуйтесь следующими методами:

Активируйте двухфакторную аутентификацию на всех ваших самых ценных аккаунтах. Это дополнительная проверка безопасности после успешного ввода пароля. Для двухфакторной аутентификации используются методы, доступ к которым есть только у вас: электронная почта, SMS, биометрия (например, отпечаток пальца или Face ID) или USB-ключ. Двухфакторная аутентификация не пропустит мошенников и злоумышленников в ваш аккаунт, даже если они украдут ваши пароли.

Часто обновляйте самые важные пароли. И старайтесь, чтобы новый пароль был не похож на старый. Менять лишь несколько символов в прежнем пароле – вредная практика. Обновляйте пароли регулярно, например каждый месяц. Даже если вы обновляете не все пароли, регулярно меняйте их хотя бы для следующих сервисов:

Наконец, помните: если ваш пароль удобен для вас, скорее всего, он удобен и для взломщиков. Сложные пароли – лучший способ защитить себя.

Используйте менеджер паролей, например Kaspersky Password Manager. Главное достоинство менеджера паролей – шифрование и доступ из любого места, где есть интернет. Некоторые продукты уже содержат встроенное средство для генерации и оценки надежности паролей.

От qwerty до криптонита: как создать и легко запомнить надёжный пароль

Пару раз в год мне в vk прилетает крик души такого вида «Край нужно 3500 на эту карту, завтра верну!». Наверняка и вы получали что-то подобное. Понятно что аккаунт взломан и мошенник собирает (и соберёт) кассу… Очевидно, что надёжный пароль — первое средство сохранить аккаунт.

Самое полезное для вас в том, что есть лёгкий способ сделать всего один надёжный пароль для всех аккаунтов и сервисов! Одновременно универсальный для всех, и подходящий только к чему-то одному. Такой чтобы и из кучи символов был, но и чтобы вспомнить можно было легко. Этакое кольцо всевластия, которое управляет всем и делает вас невидимым.

Содержание

Глава первая. Вначале был «Йцукен» или добавьте воображения

Предлагаю напрячь память и вспомнить свой первый пароль. Уверен что для многих это будет какая-то вариация из «qwerty \ 123456 \ password» или чего-то схожего, что вы сможете вспомнить и набрать даже когда одна замочная скважина до вечеринки превращается в три после.

Можно ли взломать?

Да легко! Мошенники\хакеры отлично знают что почти все начинают именно с таких паролей, а многие с ними же в итоге и остаются. Таблицы таких самых популярных паролей содержат все подобные комбинации и если есть возможность\время их безнаказанно перебрать (это примитивное дело известно как брутфорс), то будьте уверены — ваш аккаунт не выстоит.

К счастью, сейчас во многих сервисах есть защита от такого перебора и после нескольких неудачных попыток доступ блокируется (+ вам придет сообщение о попытке входа) и\ или включается капча. Последнее тоже решаемо, но крайне маловероятно что хакер пойдет на это ради вашего аккаунта.

Дюжину лет назад именно таким способом я от скуки и выпотрошил от аккаунт моей знакомой. Я был уверен в том что есть крайне небольшой перечень паролей и попеременно вводил их до успеха.

Такой пароль хорош потому что:

Такой пароль плох потому что:

Какой пароль легче всего взломать? Да вот созданный именно по таком ленивому принципу. И все же он же вполне оправдан, когда вы уверены что «никому ваш аккаунт не нужен \ взлом не даст чего-то ценного». То есть — запаролить домашний комп или телевизор от детей, сделать гостевой пароль для wi-fi.

Как создать надежный ПИН-код для карты или телефона? Да по тому же принципу. Не будьте очевидным. Выберите любую дату из истории, этого будет достаточно. Получили кредитную карту — смело ставьте 1861 как пин-код, пусть напоминает вам о крепостном праве. вы можете забыть цифры, но не событие. А уж найти его дату в сети дело плевое. Если ПИН-код был выдан вам автоматом, то это аналогично работает.

Ошибки: Явно не стоит использовать такой пароль для почты\соцсетей или важных аккаунтов.

Глава вторая. Rfrjqcbkmysqgfhjkm или просто и надёжно.

Хороший, простой и надежный способ создания паролей. Именно его я вам и советую.

Итак, берется значимая для вас кодовая фраза или длинное слово.

Что-то такое, что вы не забудете никогда: сплит Пахмутовой\Темнозорь, кличка хомяка, девичья фамилия. Дальше, все что вам остаётся это набрать ее на клавиатуре, переключив раскладку на латиницу. И тогда из «пшёлвон» получится «gi`kdjy«. Неплохо, да? Кому кроме вас в голову придет такая комбинация?

При желании, можно сделать пароль супер устойчивым.

Сайт просит ещё цифр и заглавных букв. Отлично, добавляем в начало и конец, например, 1 и пишем первую букву с заглавной. Ещё можно взять за принцип писать единицу вместо i в таких паролях.

В итоге имеем нерасшифровываемое ассорти из 8 символов 1G1`kdjy. И это даёт 218 триллионов вариантов.

Можно ли взломать?

Можно, но сложно. И крайне сложно если у вас не то что даже 8, а, например дюжина символов. Больше бы я делать и не стал, сложно запомнить. Если в главе 1 перебор шёл по базе известных паролей, то символы надо тупо перебирать. А ведь, напомню, редкий сервис даст безнаказанно раз за разом вводить пароль.

Впрочем, если у вашего недруга есть квантовый компьютер, то процедура сократиться на пару десятков лет. К счастью, у него его нет.

Когда, опять-таки от скуки, я решил повторно ломануть упомянутый выше акк, выяснилось что теперь его защищал именно такой основанный на раскладке пароль. Подобрать мне не удалось, но. помог один популярный автоматический переключатель языка вводимых символов. Безобидная удобная прога имела на тот момент опцию (мб и сейчас имеет) записи всего вводимого с клавиатуры. Потом осталось лишь прошерстить найденное… Но! Сам пароль подобрать не получилось.

Мораль: периодически проверяйте работающие программы и не пускайте кого попало за компьютер.

Такой пароль хорош потому что:

Такой пароль плох потому что:

Глава третья или Один за всех и все за одного

Ошибки: использовать 1 пароль для всех устройств и аккаунтов очень соблазнительно и очень опасно. При взломе одного аккаунта, злоумышленник тут же начнет шерстить и другие известные ему. Как быть?

Итак, у вас есть 1G1`kdjy из главы выше. О, да — хороший и устойчивый пароль, который вы помните. Положим вы регистрируете аккаунт на ixbt. Берём первую и последнюю буквы сайта, и добавляем их в пароль. Получается i1G1`kdjyt (или 11G1`kdjyt, если мы меняем i на 1). Можно брать только первую, только последнюю. Да как угодно. Главное — выработайте для себя принцип и следуйте ему. Эта схема будет совершенно неочевидной для взломщика, а вы можете подгонять пароль абсолютно под любой сайт и сервис. И в таком случае вам необходимо будет помнить только один пароль-основу. Все.

Такой пароль хорош потому что:

Такой пароль плох потому что:

Глава четыре или где хранить пароли

Вполне удобныменеджер паролей в браузере и хранение паролей в основном аккаунте от apple\google\xiaomi. Сайты-генераторы паролей или сервисы при создании пароля сделают вам чудовищную комбинацию. Да, ее невозможно взломать, но и встаёт вопрос как запомнить сложный пароль? А вы ведь и не запоминаете, а просто синхронизируете пароль в браузере или смартфоне, чтобы заходить с любого устройства, там у вас уже куча совершенно таких разных паролей хранится, которые иначе и в жизнь не запомнить.

Но попробуйте зайти с любого нового устройства, которое не помнит подсунутый вам dfj!RScsdajn!S

Способ из главы выше позволит обойти этот вопрос.

Бумага. Как ни глупо это звучит, но стоит записывать пароли или основу для паролей на бумаге. Случится может всякое.

Облако. Делаете текстовой файл с названием НЕ «пароли \ passwords». Условно «Лечо от Нюськи» или «Замеры яркости фонариков». Копируем из сети 3-4 абзаца чего-то схожего с темой, чтобы при открытии файла было видно только такой нейтральный текст. А внизу уже лупим список паролей, и сохраняем в облаке вашего аккаунта. Все, в случае острой нужды у вас будет возможность добраться до всех своих паролей. Опять-таки, если вы воспользуйтесь способом из главы 3, то запомнить нужно будет лишь один пароль, основу, на которой строятся все основные.

Программы для хранения паролей. Хороши когда вы не хотите хранить пароли в браузере\аккаунте, но и вводить вручную каждый раз 30-40 символьные пароли (если у вас такая программа, то стоит ожидать паролей изрядной длины) непросто. Такая программа упростит жизнь. Но, увы, лишь на том компьютере, где установлена. Да, и если она у вас есть — вы и так многое знаете том как создать надёжный пароль.

Собственно все. Возьмите на вооружение третий пункт, проверяйте не появились ли у вас на компьютере неустановленные программы и не подпускайте к нему посторонних. Ну и универсальное правило — если вы с готовностью переходите по непонятным ссылкам, то, скорее всего, даже самый сложный пароль вам не поможет.

Глава пятая или «А если я забыла пароль?»

Важный момент, который может свести на нет всю возню с паролями.

Позабытый пароль легко можно восстановить. Плохо то, что для восстановления обычно предлагают одни и те же контрольные вопросы.

Девичья фамилия матери? Город где вы родились? Прозвище в школе? Серьёзно?!

Как вы думаете, легко ли будет заинтересованному человеку найти ответ на этот вопрос. Ещё раз, проявите немного изобретательности и создайте свой вопрос с известным лишь вам ответом. А, в идеале, ставьте двухфакторную аутентификацию — чтобы ещё и СМС приходило, и письмо на заведённый только для восстановления аккаунтов ящик.

Если у вас есть замечания или какой-то свой проверенный способ создать надёжный пароль — пишите в комментариях!

Как создать действительно случайный и доказуемо безопасный пароль

Менеджеры паролей, такие как KeePass, 1Password и множество других, в значительной степени решают эту проблему. С их помощью вы можете генерировать уникальный и безопасный пароль для каждого сайта, который вы посещаете. Но такой менеджер защищен ровно настолько, насколько безопасен главный пароль, который вы используете для доступа к нему. Вы должны быть уверены, что его достаточная случайность и неугадываемость подтверждена количественными измерениями, а не только тем, что вы воспринимаете его случайным по причине наличия нескольких цифр или восклицательных знаков. Если нам требуется истинная случайность, нам понадобится кое-что специальное.

К счастью, есть возможность купить что-то недорогое, с достаточной энтропией набора вероятностей и способное генерировать 3 бита информации за раз. Без электричества и достаточно надежно, позволяя сотням миллионов долларов ежедневно менять владельцев, основываясь на непогрешимости этой случайности.

Бросание игральной кости позволяет получить случайное число от 1 до 6, которое даёт нам 2,58 бита информации.

Основоположник теории информации Клод Шеннон определил информацию, как снятую неопределенность. Точнее сказать, получение информации — необходимое условие для снятия неопределенности. Неопределенность возникает в ситуации выбора. Задача, которая решается в ходе снятия неопределенности — уменьшение количества рассматриваемых вариантов (уменьшение разнообразия), и в итоге выбор одного соответствующего ситуации варианта из числа возможных. Снятие неопределенности дает возможность принимать обоснованные решения и действовать. В этом управляющая роль информации.

Энтропия — мера неопределенности, выраженная в битах. Так же энтропию можно рассматривать как меру равномерности распределения случайной величины.

В действительности нет нецелых, поэтому мы всегда округляем до ближайшего бита. В этом случае нам нужно 3 бита для хранения числа от 1 до 6, но на самом деле мы можем хранить и от 0 и до 7:

Количество комбинаций 0 и 1 определяет, насколько большое число вы можете хранить с помощью определенного количества бит. Каждый раз, когда вы добавляете еще один бит, вы удваиваете количество комбинаций. Это достаточно просто: если вы добавите еще один бит к двоичному числу, у вас будут все комбинации, которые у вас были раньше дважды: с 0 слева от них и с 1.

По сути, переменная с n-ным количеством битов может иметь 2^n (2 в степени n) возможных значений. Поскольку байт состоит из 8 битов, то он может иметь 2^8 (256) возможных значений.

Размер переменной накладывает ограничения на количество информации, которую она может хранить — переменные, которые используют больше байтов, соответственно, могут хранить более широкий диапазон значений.

Компьютеры имеют ограниченное количество свободной памяти. Каждый раз, когда мы объявляем переменную, небольшая часть этой свободной памяти выделяется до тех пор, пока переменная существует. Поскольку современные компьютеры имеют много памяти, то в большинстве случаев – это не проблема, особенно когда в программе всего лишь несколько переменных. Тем не менее, для программ, которые требуют большого количества переменных (например, 100 000), разница между использованием 1-байтовых или 8-байтовых переменных может быть значительной.

Так видеоигра The Legend of Zelda, выпущенная в 1987 году была 8-битной и имела ограничение для значений переменных равное 255.

Я хотел бы, чтобы энтропия для подбора моего пароля была по крайне мере 128 бит. По большинству исследований, взлом 128-битного шифрования практически невозможен с использованием методов грубой силы менее чем за несколько миллиардов лет. Используя уравнение 2^n, мы можем хранить одно из 3.4*10³⁸ различных значений, используя 128 бит. Если бы вы могли протестировать 100 миллиардов возможных значений в секунду, все равно потребовались бы десятки триллионов лет, чтобы угадать правильный пароль. Я считаю это достаточно хорошо. 128-битный пароль почти наверняка не будет слабым звеном в цепочке вашей онлайн-безопасности.

Если каждый из наших кубиков вырабатывает 2,58 бита энтропии за один бросок, то подбрасывание пяти даст нам 12,9 бита. Если мы используем 5 игральных костей 10 раз, то мы получим 129 бит информации, а для тех кто не знает результатов создадим неопределенность или энтропию равную 129 битам.

Но как превратить эти результаты в безопасный, но запоминающийся пароль?

Я использую Diceware, который является словарем слов, индексированных с помощью результатов подбрасывания пяти игральных костей. Каждый раз, когда вы бросаете 5 кубиков (или один 5 раз), числа, которые получаются, соответствуют слову в списке. Например, если на 5 кубиках выпало 1-4-2-6-3, нужно перейти на страницу со всеми словами 14xxx и обнаружить, что 14263 соответвтует «blab». Сделайте это десять раз, и вы получите строку из десяти слов. Эти десять слов — потенциальный пароль.

Далее нам поможет мнемотехника — совокупность специальных приёмов и способов, облегчающих запоминание нужной информации и увеличивающих объём памяти путём образования ассоциаций (связей). Например, можно использовать «принцип сюжета» — сочинить рассказ (сюжет), в котором задействованы запоминаемые слова. Например, чтобы запомнить последовательность слов: «Слон, домик, телевизор», — придумываем: «Слон шёл к себе в домик смотреть телевизор». Возможно, вы будете чувствовать себя глупо, но это работает, и вы будете удивлены, как быстро вы можете запомнить вещи таким образом.

В PDF формате одна из версий словаря доступна по ссылке тут, а тут версия на русском языке.

Если все это кажется излишним, помните, что это пароль, за которым хранится вся ваша финансовая и онлайн-жизнь. Если считаете, что этого того стоит, спуститесь в магазин комиксов и купите кубики. Зайдите в комнату, где нет камер, телефонов или компьютеров, бросьте кубики и напишите соответствующие слова из словаря (я бы выбрал 15 слов, чтобы убрать несколько, которых бы не знал). Затем выберите десять слов и запомните их. Это ваш пароль. Храните запись в течение нескольких дней, пока не убедитесь, что запомнили пароль, который предложено использовать для входа в менеджер паролей.

Теперь вы знаете как получить пароль, который действительно и доказуемо случайный, который не контролировался или не генерировался для вас третьей стороной и который безопасно хранится в вашем уме. Вы можете использовать его в течение нескольких лет, и это единственный пароль, который вам нужно будет знать. Даже если кто-то знает, что вы использовали 10 слов, и знаете, какой словарь вы использовали, им все равно придется «пробиваться» через 129 изнурительных бит энтропии.

Снимите шапочку из фольги и продолжайте свою жизнь. Надевать её время от времени — это нормально.

Комментарий Cloud4Y

Основные выводы, полученные автором:

1. Не столь важно, каким образом программа генератор получает пароли, сколь — откуда берет начальные данные. Если не происходит никакого интерактива вообще, следует усомниться.
2. Человек едва ли может уследить за отсутствием статистически популярных комбинаций в пароле, что подтверждается подбором 31790 паролей из 41037 MD5 хешей за 8 часов.

В связи с этим метод описанный Charlie Hoey может быть полезным особенно при отсутствии двухфакторной аутентификации.

Для повышения безопасности без добавления новых слов, вставьте один специальный символ или цифру, выбранную случайным образом в вашу кодовую фразу. Вот как это сделать безопасно: бросьте один кубик, чтобы выбрать слово в вашей фразе, повторите, чтобы выбрать букву в этом слове. Подбросьте игральную кость третий и четвертый раз, чтобы выбрать добавленный символ из следующей таблицы:

Вставка буквы в случайном порядке добавит около 10 бит энтропии. Всё это, конечно, предполагает секретность кодовой фразы.

P.S.
Также рекомендую статью Charlie Hoey «A Eulogy for the Headphone Jack» (Хвала «джеку»), в которой он описывает то, как, не имея страховки, сэкономил 1000 долларов на проверке собственного здоровья, собрав аппарат ЭКГ, и почему нам важно сохранить разъем для наушников и не потерять доступ к почти универсальному и свободному от лицензий порту ввода-вывода.

Эта и переведенная выше его статьи схожи идеей о том, как важно и приятно понимать то, как работает всё в окружающем нас технологическом пространстве.

Как правильно: надежный пароль

От почты, соцсетей и интернет-банка

Допустим, хакер узнал пароль от вашей основной почты. Вот что он может сделать:

И всё это — из-за одного ненадежного пароля от почты. В этой статье расскажем, какие пароли ненадежные и как их сделать надежными.

Ненадежно: слова и последовательности цифр

Для почты, банка и соцсетей нельзя использовать в любых комбинациях:

Комбинации этих слов будут давать ненадежные пароли, которые на обычном компьютере подбираются за минуты и часы:

Надежно: цифры, буквы, знаки препинания

Хороший пароль состоит из заглавных и строчных букв, цифр и знаков препинания. Например:

Как крадут деньги через смартфоны

Хорошие пароли сочиняют коты, когда ходят по клавиатуре:

Если просто несколько раз бросить руки на клавиатуру, получится надежный пароль:

Такие пароли невозможно подобрать с помощью словаря, а на перебор уйдут месяцы и годы — за это время вы успеете сменить пароль,ящик и гражданство.

Как сочинить и запомнить надежный пароль

У каждого человека собственная техника запоминания пароля. Если у вас нет, попробуйте такую:

Лучше всего пароль запоминается тогда, когда вы его часто вводите. Если вы только сочинили пароль, отключите в почте или соцсетях галочку «запомнить меня», и вам придется вводить его каждый день. Так ваши руки научатся вводить его автоматически. Через неделю можно снова включать «Запомнить меня».

Сильный пароль: альтернативный метод

Пару месяцев назад я уже рассказывал о методе, чтобы придумать надежный пароль.

Как спасти деньги, когда кругом враги

Как записывать пароли

Специалисты по безопасности не советуют записывать пароли в открытом виде, даже если вы будете держать их в сейфе. Если вам необходимо записать пароль, сделайте это так, чтобы только вы знали, как его прочитать.

Возьмите старый ежедневник, откройте его где-нибудь посередине или ближе к концу и запишите на полях карандашом «Картошка с грибами. По-итальянски, по почте, 1 порция». Эта записка поможет вам вспомнить, как вы меняли исходную фразу, а посторонним будет непонятно, как из нее получить ваш пароль.

Ни в коем случае не держите пароли на стикерах на мониторе. Не носите их в бумажнике. Не записывайте в заметки в телефоне.

Как не рассекретить пароль

Даже с надежным паролем вас могут взломать: например, если кто-то подсмотрел, как вы вводите пароль; если на компьютере, с которого вы заходите в почту, стоит программа-шпион. Как обезопасить себя от таких случаев:

List of available regions

Main regions

АМЕРИКА

ЕВРОПА, БЛИЖНИЙ ВОСТОК и АФРИКА

АЗИАТСКО-ТИХООКЕАНСКИЙ РЕГИОН

Как создать надежный пароль

Как создать надежный пароль

Рассказываем, каким должен быть сильный пароль и как его создать.

Ваши пароли служат ключом к вашему собственному миру, поэтому вы наверняка хотели бы узнать, какие существуют передовые методы создания надежных паролей для защиты ваших учетных записей от киберпреступников. Если ваши пароли подверглись взлому, необходимо их немедленно изменить.

Каков же выход из этой ситуации? Надежные пароли. Но прежде чем перейти к этому вопросу, давайте сначала рассмотрим различные варианты взлома паролей, чтобы вы имели представление о наиболее распространенных способах, используемых в наши дни.

Как происходит взлом пароля?

Атака методом подбора

Атака перебором по словарю

Название этого метода атак говорит само за себя — хакер, по сути, взламывает вас с помощью словаря. В то время как атака методом «грубой силы» перебирает каждую комбинацию символов, цифр и букв, словарная атака перебирает заранее составленный список слов, который можно легко найти в словаре.

Если вы действительно подобрали обычное слово для пароля, то сможете отразить такую атаку, только если ваше слово чрезвычайно редкое или если вы используете фразы из нескольких слов, например. Пароли, состоящие из нескольких слов, способны противостоять атаке перебором по словарю, так как возможное число комбинаций для подбора ограничивается количеством слов, которые мы могли бы использовать, возведенным в степень, равную количеству слов в пароле. Таким образом, чем больше слов в парольной фразе, тем лучше.

Фишинг

Фишинг — одна из самых изощренных тактик. Киберпреступники пытаются обмануть, запугать или заставить с помощью методов социальной инженерии невольно сделать то, что им нужно. Фишинговое письмо может сообщить вам (ложно), будто что-то не так с вашей учетной записью онлайн-банка. Вам предложат перейти по ссылке, которая приведет вас на фальшивый сайт, похожий на сайт компании, обслуживающей вашу банковскую карту. Мошенники ждут, затаив дыхание и надеясь, что уловка сработает и что теперь вы введете свой пароль. Как только вы это сделаете, у них будет доступ ко всему. То же самое может произойти и с аккаунтами в социальных сетях или Госуслуг.

Для фишинга можно использовать и телефон. Остерегайтесь любого рода автоматического обзвона, который, как утверждает голос робота или сотрудника службы безопасности, касается вашей учетной записи банковской карты.

Составляющие надежного пароля

Теперь, когда мы знаем, как происходит взлом паролей, мы сможем создавать надежные пароли, которые устоят перед атакой (в случае фишинга, главное, не предоставить злоумышленникам пароль своими руками). Чтобы создать сложный для взлома пароль, придерживайтесь указанных ниже правил.

Будьте осторожны

Избегайте очевидных уязвимых комбинаций. Никогда не используйте последовательные цифры или буквы. И ни в коем случае не выбирайте в качестве пароля само слово пароль. Придумайте уникальные пароли, которые не содержат никакой личной информации, такой как ваше имя или дата рождения. Если ваш пароль стал объектом нацеленного взлома, хакер использует все знания о вас в попытках получить доступ к данным.

Никогда не используйте эти 10 самых слабых паролей

Можно ли взломать пароль методом подбора?

Принимая во внимание природу атак методом подбора, вы можете предпринять определенные шаги, чтобы предотвратить их.

Можно ли взломать пароль атакой с перебором по словарю?

Главный способ предотвратить атаки такого типа — придумать пароль, не состоящий из одного слова. Пароль, состоящий из нескольких слов, усложняет использование этой тактики. Помните: возможное число подборов в ходе подобных атак ограничено количеством слов, которые мы могли бы использовать, возведенным в степень, равную количеству слов в пароле.

Лучшие способы создания паролей (и их примеры)

Описанные ниже методы послужат хорошей подсказкой для создания собственных надежных и запоминающихся паролей. Придерживайтесь одного из этих полезных советов, чтобы удвоить защиту своего цифрового мира.

Метод запутывания парольной фразы

Это метод создания пароля с уловкой, состоящего из нескольких словосочетаний. Выбирайте причудливые и необычные слова. Используйте имена собственные, названия местных предприятий, имена исторических личностей, любые слова, которые вы знаете на другом языке.

Хотя слова должны быть необычными, попробуйте составить ассоциативную фразу, которая вызывает у вас мысленный образ. Это поможет ее запомнить. Чтобы усложнить задачу еще больше, вы можете вставить случайные символы в середину ваших слов или между словами.

Метод предложения

Этот метод также называется «метод Брюса Шнайера». Идея состоит в том, чтобы придумать случайное предложение и преобразовать его в пароль, используя определенное правило. Например, можно использовать первые две буквы каждого слова в предложении «У Луиджи — мой любимый итальянский ресторан в Риме».

Получится такое сочетание: «УЛумолюитревРи».

Любому это покажется абракадаброй, но вы знаете, что стоит за этими символами. Придумайте как можно более личное и непредсказуемое предложение.

Рекомендованные способы усовершенствовать ваш арсенал паролей

Все описанные выше методы помогут усилить ваши пароли, но не всегда оказываются полезны, если учесть, что многие из них широко применяются. Рассмотрим несколько способов, которые мы рекомендуем: использовать новые сложные пароли в сочетании с менеджером паролей или установить на смартфон приложение для аутентификации. Каждый из этих способов может обеспечить более эффективную и надежную аутентификацию.

Используйте менеджер паролей и генератор случайных паролей

Менеджер паролей следит за всеми вашими паролями и берет на себя бремя запоминания каждого из них, кроме одного — главного пароля, который служит для доступа к самому менеджеру.

Проверьте и свой адрес электронной почты

Доверяйте только проверенным сайтам

Заботящиеся о безопасности сайты шифруют (хэшируют) пароли своих пользователей, так что даже если произойдет утечка данных, фактические пароли останутся зашифрованными. Но многие сайты этого не делают. Прежде чем заводить учетные записи, создавать пароли и предоставлять сайту конфиденциальную информацию, уделите немного времени оценке сайта. Указан ли в адресной строке протокол https, обеспечивающий безопасное соединение? Как вы считаете, соответствует ли он новейшим стандартам безопасности? Если нет, подумайте дважды, прежде чем предоставлять доступ к своим личным данным.

Используйте многофакторную аутентификацию

Многофакторная проверка подлинности (MFA) обеспечивает дополнительный уровень защиты (который становится главным в случае взлома вашей учетной записи). Это может быть, например, подтверждение входа через SMS или через специальное приложение.

Таким образом, каким бы простым или сложным ни был ваш пароль, это только часть головоломки.

Используйте приложение для аутентификации на смартфоне

Ключи контроля доступа и аналогичные ключи ассоциации FIDO Alliance

Чтобы использовать многофакторную аутентификацию с ключами контроля доступа, обращайтесь в ассоциацию FIDO Alliance, которая работает над созданием стандартов надежной аутентификации для классических и мобильных приложений. Если вы, как и мы, заботитесь о защите в Интернете, необходимо использовать только службы, соответствующие стандарту FIDO, например Microsoft, Google, PayPal, Bank of America, NTTDocomo и DropBox (этот перечень можно продолжить). Если определенный ключ безопасности, сайт или мобильное приложение сертифицированы FIDO®, они соответствуют высокому стандарту сообщества для проверки подлинности и защиты.

Дополнительные советы по безопасности паролей

Усильте защиту своих учетных данных с помощью нескольких практических советов по обеспечению высокого уровня безопасности.

Создание и использование надежных паролей

Один из самых важных способов обеспечить безопасность ваших учетных записей в Интернете — защитить пароли. Следуйте этим советам, чтобы не держать свои учетные записи в неверных руках.

Создание надежных паролей

Обеспечение безопасности пароля начинается с его надежного создания. Надежный пароль:

Лучше не менее 12 символов, но не менее 14.

Сочетание букв верхнего регистра, букв нижнего регистра, цифр и символов.

Нет слова, которое можно найти в словаре или имени человека, символа, продукта или организации.

Значительно отличается от предыдущих паролей.

Легко запоминать, но сложно понять, что другие люди могут его угадать. Можно использовать запоминающуюся фразу, например «6MonkeysRLooking^».

Совет: Не хотите придумывать собственные надежные пароли? Microsoft Edge создаст и запомнит для вас надежные, уникальные пароли. См. Создание безопасных паролей с помощью генератора паролей.

Защита паролей

Создав надежный пароль, следуйте этим инструкциям, чтобы обеспечить его безопасность.

Никому не сообщайте свой пароль. Даже друзьям и родственникам!

Никогда не отправляйте пароль по почте, в мгновенном сообщении или любыми другими средствами связи, кроме надежно защищенных.

Используйте уникальный пароль для каждого веб-сайта. Если мошенники украсть данные вашей учетной записи с одного сайта, они попытаются использовать эти учетные данные на сотне других известных веб-сайтов, таких как банковские счета, социальные сети или интернет-магазины, в зависимости от того, что вы использовали пароль в другом месте. Это называется атакой с учетными данными,и она очень распространена.

Если вы не хотите запоминать множество паролей, воспользуйтесь диспетчером паролей. Лучшие диспетчеры паролей автоматически обновляют сохраненные пароли, хранят их в зашифрованном виде и требуют многофакторной аутентификации для доступа. Microsoft Edge может запоминать ваши пароли и автоматически заполнять их при необходимости. См. Запоминание и удаление паролей в Microsoft Edge.

Можно записать пароли, но обязательно хранить их в безопасном месте. Не пишите их на записках или карточках, которые вы храните рядом с тем, что защищает пароль, даже если вы считаете, что они хорошо скрыты.

Вместо того чтобы записать пароль, запишите подсказку о том, что это за пароль. Поэтому если у вас есть пароль «Paris4$pringVacation», вы можете записать «Ваша любимая поездка».

Немедленно измените пароли учетных записей, которые, возможно, были скомпрометированы.

Совет: В Microsoft Edge предусмотрена возможность мониторинга паролей, благодаря которой вы узнаете, если один из ваших паролей будет скомпрометирован при утечке данных. Дополнительные сведения см. в статье Защита учетных записей интернет-служб с помощью мониторнга паролей.

Включить многофакторную проверку подлинности (MFA) при наличии. Для многофаксной работы требуется несколько учетных данных для входа в учетную запись, например пароль и разовая код, сгенерированная приложением. Это обеспечивает дополнительную безопасность на случай, если кто-то угадает или похитит ваш пароль. Дополнительные сведения см. в теме Что такое многофакторная проверка подлинности.

Совет: Если вас попросят создать ответы на вопросы безопасности, предоставьте несвязанный ответ. Например, если задают вопрос: «Где вы родились?», можно ответить «Зеленый». Такие ответы не найдешь на ваших страницах в Твиттере или Facebook. (Однако эти ответы должны иметь смысл для вас, чтобы вы их запомнили).

Не позволяйте выудить у вас пароль

Злоумышленники могут пытаться взломать ваш пароль, но иногда проще сыграть на человеческих слабостях и обманом заставить вас раскрыть его.

Если вы получили сообщение электронной почты из интернет-магазина (например, eBay или Amazon) или телефонный звонок от вашего банка, который пытается убедить вас в том, что вам нужен надежный пароль или другая конфиденциальную информацию, это может быть фишинг. (Возможно, вы слышали эти con games, которые называются «социальные инженеры».)

Вот некоторые полезные рекомендации для защиты паролей и других конфиденциальных сведений.

Будьте навеяна к тому, кто запрашивает у вас конфиденциальную информацию, даже если это человек, которого вы знаете или компании, которым вы доверяете. Злоумышленник может похитить учетную запись вашего друга и разослать сообщения всем пользователям в адресной книге. Относитесь ко всем непредвиденным запросам конфиденциальной информации с осторожностью.

Никогда не делитесь своим паролем в ответ на электронный или телефонный звонок (например, чтобы подтвердить свою личность), даже если он был от надежной компании или пользователя.

Всегда осуществляйте доступ к веб-сайтам по доверенным ссылкам. Мошенники могут скопировать внешний вид сообщений компании, чтобы обманным образом перелицать ссылку на телефонную связь или вложение, поэтому используйте осторожность при использовании ссылок, которые отображаются в нежелательных сообщениях электронной почты, социальных сетях или SMS.

Если у вас есть сомнения, перейдите непосредственно на официальный веб-сайт банка или другой службы, к который вы пытаетесь получить доступ, с помощью собственной закладки или путем ввода нужного адреса службы самостоятельно.

Идеальный пароль по науке: трудно взломать, невозможно забыть

В сети регулярно появляются новости об очередной масштабной утечке паролей. Словари паролей все толще, инструментов для перебора больше, а пользователям все сложнее придумывать надежные пароли и запоминать их без посторонней помощи.

Новые исследования предлагают нам научные методы для создания сильных и удобных паролей. Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью. Мы перевели ключевые рекомендации CMU и дополнили их подборкой полезных инструментов для самостоятельной проверки паролей.

Кадры из фильма “Удалить историю”.

На каких данных основаны рекомендации

Многие механизмы для формирования хороших парольных привычек имеют под собой научную базу. К примеру, сотрудники CMU доказали, что лучше увеличить минимальную длину пароля, чем принудительно использовать символы разных классов. Другие исследовательские группы разработали “паролеметры” для оценки паролей на основе больших данных. Отдельные научные работы посвящены словарям паролей.

Но мало конкретных рекомендаций, как комбинировать все эти механизмы и добиваться оптимальной сложности и удобства пароля. По этой причине в CMU провели 2 эксперимента и оценили, как разные комбинации парольных политик защищают от атак и воспринимаются пользователями.

Участникам экспериментов предлагали создать пароль по заданной парольной политике. Сначала ученые разными методами измерили надежность этих паролей. Затем пользователей попросили вспомнить придуманный пароль, а исследователи оценили легкость его запоминания.

Как составляли и проверяли политики

Количество и классы символов. В основе всех политик лежали требования к длине пароля и числу классов: это буквы верхнего и нижнего регистра, цифры и специальные символы. Каждую политику исследователи обозначили формулой вида:

Эта политика требует пароль, который содержит три класса символов из четырех.

Все протестированные политики включали длину пароля не менее 8 символов. Получился примерно такой список политик: 1с8, 3c8, 4c8, 1с10, 1с12, 2с12, 3c12, 1с16.

Проверка по словарю. Требования к символам помогают генерировать более сложные пароли. Но некоторые пользователи могут соблюдать требования и все равно придумать слабый пароль. Например, для политик 4c8 и 1c16 можно создать предсказуемые варианты: 1Password! и passwordpassword. Чтобы этого избежать, политики часто комбинируют с поиском по словарям.

Для словарной проверки нужен список часто используемых, предсказуемых или скомпрометированных паролей, а также сам алгоритм поиска по словарю. Например, можно искать точные совпадения в списке, а можно использовать нечеткий поиск, который найдет совпадения с разницей в регистрах или отдельных символах. Допустим, в словаре есть password. Нечеткий поиск также посчитает “словарными” пароли типа pa$$word или Passw0rd.

В эксперименте использовались словари Xato и Pwned, а также разные алгоритмы поиска:

поиск полного совпадения со строками словаря без учета регистра – case-insensitive full-string comparison (cifs);

поиск полного совпадения со строками словаря с учетом регистра – case-sensitive full-string comparison (fs);

отделение цифр и специальных символов и последующий регистронезависимый поиск точно таких же строк в словаре (strip-cifs);

регистронезависимый поиск любых 5-символьных совпадений словарных фрагментов с фрагментами пользовательского пароля (ciss).

В сочетании с разными словарями получились такие варианты для проверки: Pwned-fs, Xato-cifs, Xato-strip-cifs, Xato-ciss и так далее.

Количество попыток перебора. Один из методов оценки надежности пароля – сколько попыток сделает злоумышленник, прежде чем подберет пароль. Для такой проверки используются разные модели, в том числе нейронные сети. Минимальные требования к количеству и частоте попыток зависят от многих факторов, например, используемых средств защиты или характера атаки. В своей работе CMU рассматривают 2 вида атак:

при онлайн-атаках хакер может перебирать пароли только при взаимодействии с сервером. Если отрубить доступ, продолжить попытки не получится.

при офлайн-атаках хакер может подбирать пароли без обратной связи от сервера, то есть дольше. Это возможно, если у злоумышленников есть краденая база с хэшами паролей.

Для оценки надежности в CMU использовали модели машинного обучения. С помощью базы данных скомпрометированных паролей нейронную сеть обучили предсказывать, какова вероятность подобрать пароль. Степень надежности определяли по количеству необходимых попыток и записывали формулой:

В этом случае считаем пароль надежным, если нейронка не угадала его за 1 млн попыток.

Гипотезы по совместному использованию методов. Исследователи использовали разные комбинации политик, чтобы ответить на вопросы:

Как проверка по словарю сочетается с политиками вида 1c8 и 3c8?

Как разные варианты проверок по словарю сочетаются с политикой вида 1с8?

Насколько разные политики по длине и классам от 1с8 до 3с12 выполняют требование надежности на уровне NN6?

Насколько проверка по словарю сочетается с проверкой с помощью нейронных сетей?

Насколько успешна проверка надежности на уровне NN8 и NN10 при разных требованиях только к длине пароля?

Как проверка по словарю сочетается с разными требованиями к числу классов символов (от 1с8 до 4с8)?

Получилась такая таблица проверки разных условий:

Как оценивали удобство для пользователей

Теперь перейдем к измерениям удобства. На первом этапе все участники эксперимента должны были придумать пароль в специально разработанном “паролеметре”. Парольная политика выбиралась случайно из всех комбинаций, которые проверяли исследователи.

Участники эксперимента получали список рекомендаций, вводили пароль и в реальном времени наблюдали, как меняется индикатор сложности пароля.

Как только минимальные требования были выполнены, “паролеметр” давал рекомендации для усиления пароля:

Рекомендации меняются по мере того, как мы добавляем другой регистр и цифры. Запись демо с сайта CMU.

Пока пользователь придумывал пароль, “паролеметр” фиксировал, с какой попытки удалось выполнить требования и сколько времени понадобилось на создание правильного пароля.

Все созданные пароли проверяли с помощью нейронных сетей и предсказывали, сколько попыток потребуется для подбора.

Через 2 дня ученые просили пользователей принять участие во втором этапе и вспомнить созданный пароль. Если пользователи не отвечали через 5 дней, они выбывали из эксперимента. Для остальной выборки фиксировали долю тех, кому удалось вспомнить пароль. Исследователи анализировали все сопутствующее поведение участников: могут ли они воспроизвести пароль по памяти или записывают его, сколько времени и попыток нужно на воспроизведение.

Участников обоих этапов просили заполнить опросник и описать в нем опыт участия в эксперименте: насколько сложно создать пароль, как сильно выбранная парольная политика раздражала пользователя.

Для каждой комбинации условий ученые фиксировали объективные показатели эксперимента: количество участников, долю выбывших на втором этапе, фактическое время создания пароля, фактическое время на воспроизведение пароля, долю успешных попыток подбора пароля. Помимо этого указывались и субъективные ощущения участников из опроса: насколько создание пароля кажется им сложным и раздражающим, насколько легко его вспомнить.

Получилась такая таблица:

К каким выводам пришли исследователи

Наиболее оптимальная парольная политика, по мнению исследователей, – настройка минимальной длины пароля и одновременная проверка пароля с помощью нейронной сети. Лучше всего в экспериментах себя показала политика вида 1c12+NN10: пароль не менее 12 символов с “угадываемостью” не менее 10 млрд попыток. Это обеспечивает достаточную защиту от офлайн-атак и необходимый уровень удобства.

Если проверка с помощью нейронных сетей не подходит, то исследователи рекомендуют задавать длину пароля не менее 8 символов и одновременно проверять пароли по словарям. Такая проверка обеспечивает меньшую защиту, но достаточно эффективна против онлайн-атак. При этом, защиту можно усилить, если увеличить минимальную длину пароля.

Проверка по словарю будет эффективнее, если использовать методы нечеткого поиска. То есть, лучше включать в поиск не только точные совпадения, но и вариации вроде P@$$w0rd. Если же используется точный поиск, стоит запускать проверку по максимально доступному словарю скомпрометированных паролей.

Пользователи испытывают больше неудобства, если им требуется создать пароль с разными классами символов. Если же пользователю нужно только соблюдать длину не менее 8–-16 символов и пройти проверку “угадываемости” пароля, то парольная политика воспринимается как удобная.

Какие еще инструменты можно использовать

Авторы исследования призывают не забывать и о других инструментах для защиты аккаунтов: менеджерах паролей и многофакторной аутентификации (2FA). Если же хочется проверить надежность самих паролей, вот несколько инструментов:

Словари паролей, по которым мы прогоняем хэши пользовательских паролей в DataLine: