Cât durează un hacker să-ți ghicească parola? De obicei, aplicațiile și serviciile online necesită o parolă de cel puțin șase caractere. O parolă „puternică” este o parolă care conține combinații de litere, cifre și caractere de serviciu. În acest caz, trei secunde vor fi suficiente pentru a sparge această parolă, dar dacă utilizați doar litere, atunci va fi suficientă o secundă pentru a vă accesa datele.

De ce fiabilitatea parolei dvs. scade în fiecare an

Acum douăzeci de ani, parolele a șase sau opt caractere păreau puternice. Pe computerele mai vechi, ar fi trebuit ani sau chiar secole să spargă o astfel de parolă încercând tot felul de combinații digitale. Mulți oameni își folosesc parola de zeci de ani și nu o schimbă. Astfel, lungimea parolei este păstrată, iar puterea acesteia scade în fiecare an.

În ultimele decenii, dezvoltarea tehnologiei de calcul a făcut progrese uriașe și astăzi orice computer personal are mai multă putere decât supercomputerul din vremurile vechi pentru câteva milioane de dolari. Acestea fiind spuse, noile GPU-uri și procesoarele multi-core oferă o putere de procesare pe care majoritatea dintre noi ar fi găsit-o greu de imaginat în urmă cu 20 de ani, iar în fiecare an există mai multe procesoare cu mai multe nuclee și GPU-uri mai puternice.

Îmbunătățirea mijloacelor tehnice de cracare a parolelor

Datorită acestui fapt, astăzi tot mai mulți oameni au capacitatea de a sparge parola, iar mijloacele tehnice sunt din ce în ce mai avansate. O simplă enumerare a tuturor combinațiilor digitale posibile, adică Un atac de forță brută fără prea multe gânduri este doar începutul. Tabelele cu parole posibile sunt create și încercate rapid mai întâi. Aceste tabele conțin nume de personalități proeminente, actori de film, date de naștere, nume de animale de companie și apoi toate cuvintele din dicționarul explicativ. Cu cât este utilizată mai des o parolă, cu atât va fi mai mare într-un astfel de tabel și cu atât mai rapid va fi găsită.

În plus, sunt proiectate „Rainbow-Tables” care economisesc timp pre-calculând rezultatul intermediar și folosesc GPU-uri pentru calcule mai rapide.

Cât timp ar trebui să fie o parolă puternică?

Un articol al lui Dirk Fox privind lungimile minime pentru parole și chei criptografice din 2009 în tabel oferă date despre durata căutării parolelor în Windows folosind un atac cu forță brută folosind „tabele curcubeu” (Rainbow Crack).

În același timp, ar trebui să se țină cont de faptul că dezvoltarea tehnologiei informatice a obținut un succes semnificativ în ultimii 3 ani, astfel încât astăzi poate dura mult mai puțin timp pentru a sparge parolele. Dirk Fox face distincție între o parolă constând numai din litere și o parolă constând dintr-o combinație de litere, cifre și caractere de serviciu. Extras din tabel:

Parola lungime caractere numai litere litere, cifre și servicii
6 caractere 0,2 secunde 3,4 secunde
8 caractere 8,75 minute 6,7 ore
10 caractere 16,4 zile 5,4 ani
12 personaje 22 ani 38 147 ani

Astfel, lungimea unei parole în Windows trebuie să fie de cel puțin 10 caractere dacă parola constă nu numai din litere, ci dintr-o combinație de litere, cifre și caractere de serviciu. În plus, trebuie folosite atât litere mici, cât și majuscule. Condiția memorării ușoare a unei parole cu o astfel de lungime este deja impracticabilă - dar dacă este totuși îndeplinită, atunci parolei i se garantează un loc în tabelul hackerului!

Coduri PIN ale cardurilor bancare

Acum veți fi probabil îngrijorat de cât de fiabilă este protecția fondurilor dvs. în bancă, deoarece codul PIN constă din doar 4 caractere - și doar unul din numere. Codul PIN în serviciile bancare pe internet este format, de asemenea, din 5 caractere.

Cu toate acestea, un astfel de PIN este oarecum fiabil, deoarece după trei încercări incorecte de introducere a PIN-ului, cardul sau accesul online la acesta sunt blocate. Același lucru se aplică codului de blocare autoradio. Este aproape imposibil pentru un hacker din primele trei încercări să dezvăluie combinațiile corecte de personaje dacă nu le cunoaște în totalitate sau parțial.

De asemenea, o parolă din șase sau opt cifre poate fi fiabilă dacă numărul de intrări incorecte este monitorizat și, după mai multe încercări incorecte, contul este blocat. Cu toate acestea, acest lucru nu se întâmplă întotdeauna și adesea blocul este eliberat după un timp. Pentru a fi în siguranță, ar trebui să creați în continuare o parolă care are cel puțin 10 caractere. Pentru mai multă încredere în protecție de-a lungul anilor, creați o parolă de 12 sau mai multe caractere.

Dacă respectivul furnizor de servicii nu permite crearea de parole mai lungi de opt caractere, ar trebui să luați în considerare dacă aveți încredere în datele dvs. cu acest furnizor. Cel puțin, ar trebui să vă schimbați parola în mod regulat pentru a face hackeri mai dificili.

Orice persoană care folosește internetul a întâmpinat probabil nevoia de a veni și de a seta parole de mai multe ori: să introducă poșta, pentru un cont pe forum, pentru servicii bancare online. Și în aproape fiecare formular de înregistrare, vi se recomandă să veniți cu o parolă puternică. La urma urmei, confidențialitatea corespondenței dvs. și siguranța banilor dvs. și siguranța computerului dvs. în ansamblu depind de cât de complexă va fi cuvântul sau expresia secretă. Se pune întrebarea: cum veniți cu o parolă complexă?

Cum să obțineți o parolă puternică

Lungime... Lungimea minimă recomandată pentru o parolă puternică este de 8 caractere. Se crede că spargerea parolelor cu o lungime de 8 sau mai multe caractere prin forță brută este un proces prea lung și șansele unui atacator de a găsi o astfel de combinație sunt prea mici.

Inregistreaza-te... O parolă bună ar trebui să conțină atât litere mici, cât și majuscule.

Personaje speciale... O parolă extrem de sigură, împreună cu litere și cifre, conține, de asemenea, caractere speciale. De exemplu #, ~, +, _

În total, opțiunea ideală ar fi o combinație de litere latine majuscule și minuscule, cifre și caractere speciale cu o lungime totală de cel puțin 8 caractere. De exemplu:

uE_xm932
9203Jb # 1
29Rtaq! 2

Asta în niciun caz nu poate fi folosit ca parolă

Nu utilizați niciodată ca parolă sau cuvânt secret:

• Data de nastere
  Cea mai mare prostie este să vă setați propria dată de naștere în format 12071992 ca parolă la pagina dvs. Vkontakte, unde aceeași dată este indicată în informații 🙂
• numere de telefon
  Numai leneșii nu vor sparge o parolă constând din numărul dvs. de telefon. Și nu contează câte cifre există 🙂
• nume, prenume, porecle de animale
  Este amuzant când oamenii consideră că numele de fată al unei mame este o protecție de încredere magică. ... pe care toată curtea o știe deja de 50 de ani 🙂
• și bineînțeles, tot felul de prostii precum „qwerty123”, „parolă”, „parolă”, „********”, „123”, „12345678”, „phywa”, „asdf” etc. Apropo, liderul dintre parolele secretarilor este „una”, adică. o singură cifră „1” 🙂

Concluzie

În concluzie, vreau să spun - nu vă neglijați siguranța. Nu utilizați aceleași cuvinte secrete pentru autorizare pe site-uri și servicii diferite, oricât de complexe și fiabile ar fi acestea. Dacă aveți o singură parolă pentru orice și peste tot, atunci prin hacking-ul unui singur site, atacatorii pot avea acces la toate conturile dvs. din rețea, ceea ce înseamnă că pot vedea informațiile dvs., pot folosi acreditările salvate în browser și alte informații. Și amintiți-vă: nimic nu este mai permanent decât temporar. Prin urmare, nu vă leneși să veniți cu combinații puternice și să setați parole complexe. pe loc- nu amâna această chestiune până mai târziu. Lăsați informațiile dvs. să fie disponibile numai pentru dvs.! Noroc!

12345 - trebuie să schimbăm parola. Cum să creați o parolă complexă și să o amintiți pentru totdeauna

Escrocii de pe Internet fură milioane de parole din cutiile poștale și din conturile de utilizator în fiecare zi. Dar nu disperați - vă vom oferi câteva sfaturi foarte simple, dar eficiente, care vă vor proteja de pierderea controlului asupra resurselor dvs.

Pentru cei care preferă să vizioneze, am pregătit o versiune video a acestui articol:

1. Folosiți parole complexe

Ai ghicit, nu? Ne pare rău pentru banalitate, dar acesta este principalul sfat - care este încă neglijat de majoritatea utilizatorilor. Nu este de mirare că parolele precum qwerty rămân în topul celor mai populare până în prezent.

Nu utilizați numele personajelor dvs. preferate, numele clubului de fotbal sau numele animalului de companie ca parolă, deoarece aceste informații sunt ușor de găsit pe rețelele dvs. sociale. O parolă complexă trebuie să fie formată dintr-o combinație arbitrară de diverse caractere și simboluri.

2. Folosiți majuscule și minuscule, cifre și simboluri

, utilizatorilor nu le plac parolele lungi - sunt ușor de uitat și prea leneși pentru a tasta. O parolă cu 8 caractere a fost considerată de încredere numai în primele zile ale computerelor; astăzi, o combinație de opt cifre este potrivită mecanic în câteva ore.

Cu toate acestea, chiar și o parolă scurtă (până la 8 caractere) poate fi făcută relativ sigură folosind cifre și litere în diferite cazuri. Pentru a găsi o astfel de parolă va dura 2-3 zile.

Fiabilitatea maximă este obținută prin simpla creștere a lungimii parolei și utilizarea diferitelor simboluri ($,%, &, ”, #) în acele servicii, acolo unde este posibil.

3. Folosiți acronime

Alegeți o frază pe care nu o veți uita și folosiți o combinație a primelor litere ale fiecărui cuvânt ca parolă. De exemplu, poezia din 1828 „Lukomorye are un stejar verde, un lanț auriu pe acel stejar ...” se transformă în ULdzzcndt1828.




4. Folosiți cu un cuvânt cheie

Alegeți un cuvânt cheie și amestecați-l cu numele fiecărui site pe care aveți un cont. De exemplu, pentru cuvântul cheie „antivirus”, parola de pe site va arăta astfel: c A l n tu t b eu e v s eu e r t tu n s od32. Avantajul acestui truc este că aveți o parolă puternică pentru fiecare site.

După cum sa sugerat în comentarii, această metodă poate eșua dacă adresa site-ului se schimbă - cu toate acestea, în acest caz, este suficient să utilizați recuperarea automată a parolei.

5. Nu utilizați aceeași parolă pentru conturi diferite

Ca un adevărat artist, fii original. Nu uitați că diferite site-uri au niveluri de securitate diferite. De exemplu, majoritatea serviciilor trimit parole prin e-mail printr-o procedură de recuperare a parolei. După ce au obținut o parolă de la un serviciu nesigur, hackerii pot încerca să o folosească pentru e-mail sau rețelele dvs. sociale - aceeași parolă va deveni cheia tuturor resurselor dvs.

Singura modalitate de a atenua riscurile este de a folosi parole unice și complexe pentru toate conturile.

6. Schimbați parolele mai des

În cazul furtului de parole Mail.ru, 99,982% din toate parolele s-au dovedit a fi irelevante. Acest lucru s-a datorat în mare parte faptului că cea mai mare parte a bazei de date a contului furat a fost compilată dintr-o serie de alte baze de date.

Cu toate acestea, în cazul a 57 de milioane de adrese (exact exact câte intrări au existat în baza de date scursă), acest lucru nu este suficient - puteți garanta că cutia poștală de pe Mail.Ru nu a fost compromisă de infractorii cibernetici? Mai mult, acesta este doar un exemplu de bază de date scursă - nu știm câte milioane de adrese relevante merg în mâinile hackerilor astăzi.

Dar știm sigur că ar fi mult mai puține dintre ele dacă utilizatorii își vor schimba regulat parolele.




7. Utilizați un manager de parole

Cum să nu uitați parola pentru contul dvs. VKontakte, căsuța poștală și serviciile bancare pe internet? Puțini oameni își pot aminti zeci de parole complexe. Este în regulă.

Din fericire, dezvoltatorii de software au venit cu o soluție. Astăzi, există multe instrumente care îi ajută pe utilizatori să stocheze în siguranță un număr nelimitat de cele mai complexe parole. De exemplu, puteți utiliza cele mai populare - LastPass sau 1Password.

Cu toate acestea, managerii de parole au punctele lor slabe. Cele mai importante conturi prin care informațiile dvs. bancare pot fi accesate nu ar trebui să fie de încredere nici măcar cu cel mai de încredere software.

8. Nu uitați de „întrebarea secretă”

În sfatul nr. 1, vă recomandăm să nu utilizați datele ca parolă care poate fi ușor învățată despre dvs. din rețelele de socializare. Același lucru este valabil și pentru „întrebările secrete”, care din anumite motive mulți uită sau nu le acordă importanță. În plus, atacatorii pot prelua cu ușurință un răspuns dintr-o bază de date cu opțiuni populare.

Încercați să folosiți tactici absurde, unde răspunsul nu are nicio legătură cu întrebarea secretă. Numele mamei lui Maiden? Aspirină! Numele animalului de companie? 1989!

9. Utilizați autentificarea cu doi factori

Pentru a minimiza riscul scurgerilor de acreditări, utilizați autentificarea cu doi factori ori de câte ori este posibil.

Majoritatea rețelelor sociale, serviciilor poștale și bancare vă permit să activați confirmarea autorizării prin SMS. Astfel, fraudatorii nu vor putea accesa contul dvs. dacă nu au telefonul mobil în mâinile lor.

Deci, dacă aveți un cont Yandex, vă recomandăm să utilizați funcția de autentificare cu doi factori Yandex.Key:

• Descărcați aplicația pentru Android sau iOS
• Introduceți parola sau codul QR
• Conectați-vă la Yandex
• Profit!

P. S. Imprimați și salvați codurile de recuperare în cazul în care smartphone-ul dvs. eșuează sau se pierde.

10. Antivirusul este totul

Parolele nu ajung doar la hackeri, nu plutesc către ei prin aer (cu excepția fraudei obișnuite, atunci când utilizatorii înșiși furnizează infractorilor parole pentru serviciile lor).

Datele cu caracter personal sunt colectate și trimise hackerilor prin programe malware foarte specifice, care încearcă să acceseze computerul, laptopul sau smartphone-ul prin cârlig sau escroc.

Prin urmare, instalarea unui antivirus de încredere cu (și actualizarea regulată a bazei de date) este una dintre principalele modalități de a economisi bani, nervi și confidențialitate.

Despre motivul pentru care chiar și atacatorii nu foarte abili pot sparge cu ușurință parolele majorității vizitatorilor de pe diverse site-uri de internet. Apare o întrebare firească: este posibil să veniți cu o parolă care, pe de o parte, ar fi suficient de rezistentă la hacking și, pe de altă parte, ușor de reținut.

În primul rând, merită să ne amintim că absolut orice parolă poate fi spartă (ghici, ghici). Singura întrebare este resursele - calcul și timp NS NS. Prin urmare, este logic să se evalueze stabilitatea unei parole din punctul de vedere al justificării costului de cracare a acesteia: dacă de ceva timp nu poate fi deschis folosind resursele disponibile, atunci poate fi considerat sigur.

Criterii fundamental diferite sunt aplicate pentru diferite categorii de utilizatori. Pentru a sparge parola unui simplu cont de școală pe o rețea socială, nimeni nu va folosi atâtea resurse cât pentru a deschide contul șefului unei companii mari sau (cu atât mai mult) pentru a accesa unele rețele de stat și de apărare protejate în special. Parola, care în primul caz poate fi considerată aproape complet sigură, în celelalte două poate fi absolut vulnerabilă. Acestea fiind spuse, școala noastră abstractă, desigur, nu va folosi niciodată un generator de parole aleatorii de nivel industrial și va schimba parola de fiecare dată când o introduceți.

Să vorbim despre un anumit caz „mediu” - adică despre parolele utilizatorilor pentru serviciile de internet, care, deși rămân suficient de puternice pentru astfel de aplicații, nu vor forța o persoană să ducă un stil de viață clinic paranoic.

Lungimea este cheia

Spre deosebire de multe alte cazuri, pentru o parolă, lungimea este cheia. Parole de până la șase caractere, inclusiv, compuse din 95 de caractere ASCII (26 de litere ale alfabetului latin în ambele registre, 10 cifre și 33 de simboluri de serviciu), sunt crăpate de forța brută (forța brută) pe un computer personal obișnuit folosind un număr modern plăci grafice concasor în doar câteva minute. Dar adăugarea chiar a unuia sau a două personaje deja complică serios sarcina, prelungind timpul de căutare la câteva zile sau chiar luni.

Cu toate acestea, lungimea este principalul, dar departe de singurul criteriu pentru evaluarea intensității parolei. Absența oricărui tipar previzibil în set în sine și non-aleatoriu în secvența de caractere de parolă este de o importanță fundamentală. Măsura imprevizibilității apariției unor astfel de simboluri se numește „entropie informațională”, iar această valoare, calculată în biți de entropie, permite estimarea complexității parolei cu un grad semnificativ de acuratețe. Astfel, entropia pe caracter pentru o parolă a tuturor caracterelor ASCII va fi de aproximativ 6,56 biți; astfel, complexitatea unei parole cu 6 caractere va fi de 39,36 biți de entropie, o parolă cu 7 caractere va fi de 45,95 biți și o parolă de 8 caractere va fi de 52,48 biți.

Pentru a sparge o parolă de 52 de biți prin forță brută, este necesar un număr de încercări egal cu 2 până la a 52-a putere. Când utilizați o pereche de plăci video moderne din clasa GeForce GTX 570, capabile să preia 1,5 miliarde de parole pe secundă, enumerarea tuturor combinațiilor posibile va dura aproximativ câteva luni de muncă continuă, ceea ce, în general, oferă o idee de puterea unei astfel de parole.

Cu toate acestea, acest lucru se aplică exclusiv parolelor care nu conțin niciun model previzibil, adică generat de mașină, cu entropie teoretic maximă. Pentru comportamentul uman, predictibilitatea este tipică, prin urmare, atunci când compune o parolă, el va folosi subconștient unele combinații familiare și combinații de numere, simboluri și litere. Îmi amintesc involuntar date memorabile, zile de naștere, numele oamenilor dragi, numele locurilor și obiectelor familiare.

De fapt, acest lucru înseamnă mult mai mult O Vulnerabilitate mai mare, deoarece metoda „forței brute” este întotdeauna utilizată în combinație cu alte metode de hacking, în special cu selectarea dicționarului. În același timp, utilizarea măștilor și șabloanelor bine-cunoscute simplifică foarte mult sarcina. Pe lângă dicționarele obișnuite și dicționarele de parole reale ale utilizatorilor „scurse” de pe site-urile pirate, măștile pentru înlocuirea literelor individuale sau adăugarea numerelor sunt cunoscute pe scară largă, secvențe de numere populare - modele de date, numere de telefon, indici, numere de securitate socială și multe altele alte trucuri care par degeaba autorii lor sunt extrem de originale.

Conform estimărilor Institutului Național de Standarde și Tehnologie al SUA (NIST), entropia primului caracter din litere mici și cifre din parolele inventate de om este de 4 biți, următorii șapte - 2 biți și utilizarea majusculelor și serviciilor caractere adaugă încă 6 biți, care, în total, dă doar 24 de biți, adică mai mult de jumătate din maximul teoretic pentru un set de caractere dat și lungime. Adică, timpul de forță brută a unei astfel de parole este redus la jumătate, dar în realitate un atac hibrid îi va permite unui atacator să reușească mult mai repede.

Și aici ne întoarcem din nou la lungime: complexitatea unei parole cu o lungime de 14 caractere va fi teoretic 91,84 biți și cu o lungime de 20 de caractere - deja 131,2 biți și va dura câteva zeci, sau chiar sute de ani . Tehnicile hibride, desigur, reduc semnificativ puterea unor astfel de coduri, iar „factorul uman” le face și mai vulnerabile. Cu toate acestea, lungimea își face treaba: pentru o parolă de utilizator obișnuită, chiar dacă conține modele nu prea evidente, numărul recomandat de caractere pentru astăzi ar trebui să fie de cel puțin 14. O astfel de parolă va fi mult mai sigură decât parolele „super puternice” ale 6 –8 caractere.

Nu fi previzibil

După ce am vorbit despre predictibilitate ca proprietate a naturii umane, acest sfat poate părea ciudat și totuși. Pentru a crea o parolă suficient de sigură, nu este deloc necesar să instalați generatoare și apoi să încercați să vă amintiți gâfâitul. Poți încerca doar să devii puțin mai „brusc”.

Printre cele mai obișnuite recomandări - nu utilizați pseudo parole și combinații de pseudo parole precum QWERTY, 123456 și altele asemenea. Chiar dacă o parte a acestei secvențe este prezentă în parola dvs., aceasta va reduce drastic securitatea acesteia. Repetarea simbolurilor individuale și a combinațiilor lor este inacceptabilă: atât cifre, cât și cifre, atât litere, cât și cuvinte.

Cel mai prost lucru la care vă puteți gândi este să introduceți cuvinte rusești în aspectul latin ca parole. Chiar dacă renumitul Punto Switcher este capabil să schimbe aspectul în timp real, este ciudat să ne așteptăm la lipsa unei astfel de oportunități în software-ul specializat.

Nu utilizați numere previzibile - date, numere de telefon și coduri poștale, securitate socială și numere de mașini. Deoarece crackerele profesionale sunt încă parțial matematicieni, nu ar trebui să utilizați câteva constante bine cunoscute în parole - de exemplu, numărul „pi”. Secvențele numerice (cum ar fi numerele Fibonacci) sunt, de asemenea, puțin probabil să fie o idee bună.

Înlocuirea caracterelor „similare” din cuvintele din dicționar nu va avea niciun efect, deoarece toți biscuiții știu de mult că „@” poate înlocui „a” și „5” - „s”. O opțiune mult mai eficientă este distorsionarea cuvintelor bine cunoscute într-un mod care este ușor de înțeles de dvs. De exemplu, transformarea „parolei” în „p & sUprtDt” - nu există un tipar tipic aici, astfel încât selectarea dicționarului nu va da nimic, iar dacă parola este suficient de lungă, atunci metoda forței brute va fi ineficientă.

Una peste alta, fii creativ și vei reuși. Puteți evalua rezultatele eforturilor dvs., de exemplu, pe site-ul GRC.com, care, spre deosebire de „calculatorul” parodiei Intel, oferă o idee reală de stabilitate a parolei. Desigur, după evaluare, va trebui să veniți cu o nouă parolă - dacă chiar vă pasă de securitate.

Pas, vrei un obraz?

Chiar dacă ați venit cu parole excelente (și acestea, pentru propria siguranță, ar trebui să fie individuale pentru fiecare serviciu de internet), apare problema cum să le amintiți pe toate. Desigur, puteți utiliza funcția de a vă aminti parolele încorporate în orice browser, dar dacă un atacator obține cumva acces la mașina dvs., acest lucru va însemna că va putea accesa nu numai pagina dvs. de pe rețelele sociale, ci și, de exemplu, , serviciul dvs. bancar de internet.

Unii oameni au o memorie fotografică pentru simboluri și nu le este dificil să-și amintească nici măcar cea mai ridicolă tâmpenie. Alții trebuie să utilizeze o metodă diferită, care este descrisă în titlul acestei părți a articolului. Autorul nu a înnebunit deloc, doar acest titlu conține o parte din regula mnemonică pentru memorarea consoanelor fără voce în limba rusă: „STёPKa, WANT SHCHETS? - Fi! " Mnemonica facilitează memorarea oricărei informații cu ajutorul linkurilor asociative, înlocuind datele abstracte cu imagini vii.

Chiar și cea mai dificilă parolă poate fi memorată folosind mnemonice, în special unele subiecte care vă sunt apropiate. De exemplu, „AsTKp2eshe :)”: „Arkady a mâncat o farfurie mare de terci, a mai cerut două, a zâmbit” etc. Frazele nu trebuie să fie semnificative: dimpotrivă, cu cât sunt mai absurde, cu atât este mai ușor a ține minte. Există o mulțime de tehnici de memorare și, dacă stăpânești cel puțin unele dintre ele, acestea îți vor fi utile pentru mai mult decât parole. Din nou, acesta este un mod minunat de a vă aminti o mulțime de parole complexe.

Parolele sunt doar unul dintre mijloacele de protejare a informațiilor, deși unul dintre cele mai comune. Dar chiar și cu parole bune, trebuie să știți cum să le gestionați corect. Printre regulile principale ale „igienei parolelor” se numără să nu folosiți aceleași parole pe resurse diferite și să le schimbați în mod regulat. Pentru serviciile de internet, este suficient să efectuați o astfel de înlocuire la fiecare două până la trei luni, cu excepția situațiilor de urgență cu pierderea unui computer, hacking-ul sau un cont web piratat.

Nu introduceți parolele pe computerele altor persoane, în special pe cele la care are acces un cerc mare sau nelimitat de persoane. Chiar dacă atacatorii insidioși nu au instalat keylogger-uri acolo care rețin toate apăsările de taste, setările sistemului, browserului sau software-ului pot prevedea implicit memorarea tuturor parolelor introduse, ceea ce nu este evident pentru utilizator. Dacă totuși trebuia să folosiți un astfel de computer, grăbiți-vă să schimbați parola de pe un computer securizat.

În cele din urmă, nu trimiteți niciodată parolele dvs. nimănui, nici prin e-mail, nici prin intermediul serviciilor de mesagerie instantanee: niciun serviciu de internet nu vă va cere să trimiteți parola. Dacă trebuie să trimiți parola prietenilor tăi, dictează-o prin voce prin telefon sau trimite o fotografie de pe telefonul tău mobil. Din nou, din motive de securitate, schimbați imediat această parolă cu una nouă, dacă este posibil.

După ce am citit o mulțime de literatură înrudită și am analizat o mulțime de habratopii (linkurile către cele interesante sunt date la sfârșitul articolului), am decis să rezum informații despre principalele metode de generare a unei parole sigure și memorabile.

Pentru început, eu însumi folosesc minunatul program KeePass pentru a-mi genera și stoca parolele. Funcționalitatea sa este suficientă pentru toate nevoile mele modeste de webmaster. Principalul său dezavantaj este faptul că necesită, de asemenea, să vă amintiți o parolă principală. Prin urmare, toată această bătaie de cap cu o parolă mă preocupă și pe mine și pe toți fericiții proprietari ai KeePass sau ai analogilor săi, tk. tot trebuie să veniți cu o singură parolă.

Să vorbim despre metodele de hacking

Pentru a înțelege profunzimea completă a problemei, voi dedica câteva linii tehnicii de hacking. Deci, cum poate un atacator să vă afle / ghici / ghici parola?

1. Metoda de ghicire logică. Funcționează pe sisteme cu un număr mare de utilizatori. Atacatorul încearcă să vă înțeleagă logica atunci când compuneți o parolă (autentificare + 2 caractere, autentificare, dimpotrivă, cele mai comune parole etc.) și aplică această logică tuturor utilizatorilor. Dacă sunt mulți utilizatori, o coliziune va avea loc foarte curând și parola va fi ghicită;
2. Dicționar de căutare. Acest tip de atac este utilizat atunci când baza de date hash de parolă este scursă de pe server. Poate fi combinat cu înlocuirea literelor (greșeli de scriere) sau cu înlocuirea numerelor / cuvintelor la începutul sau la sfârșitul unui cuvânt ca prefix sau sufix. De asemenea, sunt folosite dicționare tastate într-un aspect greșit de tastatură (cuvinte rusești în aspectul englezesc);
3. Forța brută pe tabelul de parole hash. O metodă avansată de cracare a parolelor, când hash-urile au fost deja generate și tot ce rămâne este să găsiți o potrivire între hash și parola din baza de date. Funcționează foarte rapid chiar și pe mașini slabe și nu lasă nicio șansă pentru proprietarii de parole scurte.
4. Alte metode: inginerie socială și inginerie socială, folosind keyloggers, sniffers, troieni etc.

Puterea parolei

Rezumând informațiile obținute din diferite surse fiabile, voi evidenția principalele caracteristici ale unei parole rezistente la fisurare (prin fisurare, mă refer la forța brută pe bazele de hash, când algoritmul de hash este cunoscut în prealabil):

1. Lungimea parolei (cu cât este mai mult, cu atât mai bine), pentru cazurile avansate se recomandă utilizarea unei parole cu 15 caractere;
2. Absența cuvintelor din dicționar și părți ale parolelor obișnuite în parolă;
3. Absența șabloanelor la compunerea unei parole (prin șablon mă refer la un algoritm logic pentru generarea unei parole, de exemplu: "Med777vedev", " [e-mail protejat] ytsu @ 21 "sau chiar" q1w2e3r4t5 ");
4. Secvențe stochastice de caractere din diferite grupuri (litere mici, majuscule, numere, semne de punctuație și caractere speciale);

Cu toate acestea, suntem cu toții oameni cu abilități destul de limitate de a memora informații incoerente, prin urmare, parole care se potrivesc parametrilor de mai sus, deși vor fi foarte rezistente la hacking pe de o parte, dar, pe de altă parte, sunt foarte greu de reținut . Prin urmare, vom lua în considerare opțiuni mai puțin paranoice pentru compunerea și amintirea parolelor.

Cum își amintesc oamenii parolele?

După ce am analizat metodele de generare a parolelor pentru oamenii habra, am ajuns la concluzia că principala metodologie pentru amintirea unei parole se bazează pe compilarea unei serii logice sau asociative. De asemenea, sunt folosite tot felul de distorsiuni ale cuvintelor. Poate fi:

1. Nume de domenii intercalate cu autentificare („gooUSERglcom”, „UmailruSer”);
2. O anumită frază standard atașată domeniului („passgoogleru”, „passhabrahabrru”);
3. Un cuvânt comun intercalat cu numere semnificative și alte semne („321DR67ag0On”, unde 32167 este o înșelătorie care a convocat 5 dragoni negri în Heroes of Might & Magic);
4. Cuvinte rusești în aspectul englez (", k.lj)