Надежный пароль из цифр. Какой должен быть пароль? Конечно, с большой буквы

Какой поставить пароль.

Каждый сталкивался с проблемой выбора пароля – password.

И чтоб не потерялся в памяти, и чтоб никто негодался, и чтоб был имитостойким – невзламываемым. О шифрах и паролях можно написать очень много. Однако кроме уникального и «правильно» составленного пароля, необходимо ещё методически грамотно организовать его хранение и администрацию. С другой стороны - паранойя, да ещё если его забыть... .

Взломать пароль сложно, но можно. Усложнить работу взломщиков можно довольно серьёзно.

«Одна» из крупнейших социальных сетей сообщила, что практически каждый день из более чем миллиарда попыток войти в систему более 600 тысяч совершают злоумышленники, которые стараются получить доступ к чужим сообщениям, фотографиям и другой персональной информации.

Американская интернет компания SplashData составила список самых дурацких и ненадежных паролей, используемых людьми во всем мире. К сожалению, многие юзеры пользуются именно ими - чтобы было несложно запомнить.

Самым идиотским и, вместе с тем, опасным стал пароль "password" (пароль).

На втором месте - сочетание цифр "123456", на третьем - "12345678". Затесались в рейтинг слова "футбол" и "супермен".

12345678

trustno1

baseball

iloveyou

sunshine

passw0rd

superman

Эксперты призывают быть внимательнее и не использовать один и тот же пароль от почты, интернет-банка и других онлайн-сервисов. Эксперты в области информационной безопасности предупредили пользователей о том, что не стоит использовать одну и ту же пару "логин-пароль" для нескольких разных сайтов. Надежный пароль должен содержать не менее восьми символов включать цифры и буквы в верхнем и нижнем регистре, а также специальные символы (например, подчеркивания, доллара или процента).

Взломать программно намного проще простые пароли, а вот сложные методом перебора, весьма сложно.

Простой совет по выбору относительно сложного пароля.

Берем любое слово. Допустим имя любимого(ой) или кличку домашнего любимца. Переключаем клавиатуру на английский язык.

Смотрим на русские буквы и набираем это незабываемое имя.

Конечно, с большой буквы!

Например кличка пса Шарик преобразуется в Ifhbr

Имя Миранда -> Vbhfylf

И запомнить легко, и подобрать/взломать довольно трудно.

Для усложнения можно использовать название любимой книжки (песни и так далее). Причем, если в названии есть числительное - это замечательно! Ведь это числительное можно и даже нужно написать именно цифрой. При этом пробелы можно пропускать или заменять знаком подчеркивания _

Например:

3veirtnthf -> Три мушкетера

100ktnjlbyjxtcndf -> Сто лет одиночества.

123456, 11111 и т.д.

qwerty, фыва, авс,"пароль" / "password" и т.д.

имя (свое, близких, домашнего питомца...)

дату рождения (свою, близких, домашнего питомца...)

номер телефона

А так же:

минимальная приемлемая длина пароля - 8 символов

пароль должен быть бессмысленным

Почему же это так важно при выборе пароля?

Рассмотрим каждую из этих позиций по отдельности.

Коротко по первым 2-м пунктам. Эти пароли элементарны, распространенны и известны любому взломщику, будьте уверены – это первое, что попробует человек пытающийся взломать ваш аккаунт.

Что бы получить представление по остальным позициям, окунемся в глубь проблемы и попробуем на все посмотреть изнутри.

Любой пароль, который вы вводите при регистрации, перед тем как попасть в хранилище, обязательно шифруется. Существует множество алгоритмов такого шифрования. На примере наиболее распространенного из них, одностороннего MD5 шифрования, отследим путь нашего пароля от регистрации до его взлома.

Итак, после шифрования наш пароль приобретает вид ХЕШ’а (контрольной суммы), который в нашем случаи состоит из 32, специальным образом полученных, символов и имеет вид например: «202cb962ac59075b964b07152d234b70» для пароля «123».

Если взломщику удается получить доступ к хранилищу и заполучить ХЕШ’и наших паролей. То перед ним встает задача по их расшифровке. В этом ему поможет специальный софт, который без труда можно найти в интернете.

Любая программа для расшифровки паролей такого типа действует методом перебора: полным (Brute force – Грубой силы), по словам, по маске. На выполнение этой задачи, в зависимости от сложности и грамотности составленного пароля, может уйти от нескольких секунд до нескольких суток, месяцев и даже лет.

Используя стандартный ПК (CPU: 3 ГГц) и софт (PasswordPro) «Дом советов» решил протестировать на устойчивость линейку паролей разной длины и состава.

Итак, первыми сдадутся пароли, состоящие из цифр.

Пароль: «1234»; время перебора < 1 c.

Пароль: «1234894»; время перебора < 1 c.

Чуть дольше продержатся буквенные пароли.

Пароль: «adfp»; время перебора = 2 c.

Пароль: «adrpsdq»; время перебора = 22 мин. 1 с.

Комбинация строчных и заглавных букв ощутимо увеличит время, но все равно оно остается недостаточным, если учесть, что над расшифровкой могут трудится сразу несколько ПК.

Пароль: «aBst»; время перебора = 5 c.

Пароль: «fdQnnHF»; время перебора = 1 день, 22 ч. 13 мин.

И самым идеальным вариантом будет комбинация из заглавных, строчных букв, цифр, специальных символов (обычно это «-» и «_») и с длиной не менее 6 знаков.

Пароль: «As_3»; время перебора = 7 c.

Пароль: «fN4u-3k»; время перебора = 11 дней, 13 ч. 27 мин.

Пароль: «fN4u-3kS8»; время перебора > 1 года.

Перебор может выполнятся не только путем периодического комбинирования печатных символов, но и по определенному списку слов, базе паролей, которая может включать в себя как словарь, например, Даля или пароли пользователей украденные с других сайтов, так и ваши личные данные предусмотрительно найденные в интернете. Поэтому важно что бы пароль не имел смыла и не содержал такие очевидные данные как день, месяц, год вашего рождения, имена ваши и ваших близких и т.п.

Безопасно ли хранить пароль на компьютере?

Нет. Существует огромное количество программ (Trojans, Keyloggers), которые способны осуществить поиск ценных файлов на вашем жестком диске, подключенной флеш-карте или конспектировать нажатые вами клавиши и отсылать добытую информацию к своему обладателю.

Взломать пароль. Можно, а теперь и сложно.

Даже если вас защищает Фаирвол (Firewall) и антивирус с последним обновлением, то лучше перестраховаться и хранить действительно важную информацию в бумажном блокноте.

А ещё есть буква ё !

Какой выбрать пароль.

Пароли везде: в социальных сетях, платежных системах, на компьютере и телефоне. Держать в голове столько информации нереально, поэтому многие пользователи идут по пути наименьшего сопротивления – придумывают один ключ, который легко запомнить, а затем вводят его на всех площадках, на которых регистрируются.

Такой подход к безопасности может закончиться плачевно. Если код доступа для ВКонтакте или Одноклассников можно потерять без серьезных финансовых последствий, а потому и делать его сложным необязательно, то придумать пароль для регистрации в платежной системе или создания Apple ID нужно такой, чтобы никто, кроме владельца, не получил доступ к данным.

Правила создания паролей

Практически на всех сайтах при регистрации есть список требований к паролям. Однако обычно требования эти минимальные: не менее 8 символов, не может состоять только из цифр или букв и т.д. Для создания реально сложного пароля необходимо помнить еще о нескольких ограничениях.

• Логин и пароль не должны быть одинаковыми.
• Не рекомендуется использовать любую личную информацию, особенно если её можно узнать из социальных сетей или других источников.
• Не рекомендуется использовать слова.

Чтобы понять логику этих запретов, достаточно посмотреть, как взламываются пароли. Например, ключ из 5 цифр – это всего лишь 100 тысяч комбинаций. Программа для взлома путем простого перебора всех вариантов найдет подходящую комбинацию минуты за 2, если не меньше. Не сгодится для кода доступа и редкое слово. Взломщик может проанализировать разные словари на разных языках и найти соответствие. Вопрос лишь в том, сколько времени этой займет – несколько минут или пару часов.

Программа Advanced PDF Password Recovery для взлома паролей, установленных на PDF документ. Использует брутфорс, позволяет тонко настроить подбор, отметив используемые в пароле символы.

Сочетание редкого слова и цифр тоже не подойдет. Технология bruteforce позволяет искать сочетания цифр и слов, так что при необходимости такой ключ падет. Продержится он, конечно, чуть дольше, чем 123456789, но если вы из-за взлома понесете потери, то эта разница во времени вряд ли покажется существенной. Чтобы понимать, какой пароль надежный, а какой – не очень, посмотрим конкретные примеры. Примерное время взлома рассчитано с помощью сервисов проверки паролей, о которых рассказано ниже.

• Дата рождения (05041992) – будет взломан за 3 миллисекунды.
• Имя с маленькой или заглавной буквы (Segey, sergey) – продержится 300-500 миллисекунд, то есть меньше, чем полсекунды.
• Комбинации из цифр и строчных букв (1k2k3d4a9v) – примерно 1 день.
• На взлом пароля вида HDA5-MHJDa уйдет около 6 лет.
• Комбинация AhRn&Mkbl363NYp будет расшифрована через 16 миллионов лет.

Никакие 16 миллионов лет и даже 6 лет взломщик работать не будет – это значение лишь демонстрирует, что взломать пароль в приемлемый срок невозможно.

Генерация паролей

Одно дело – знать правила, другое дело – им следовать. Большинство пользователей в курсе, что для регистрации нельзя использовать код доступа, состоящий из даты рождения или имени, но мало кого это останавливает. Проблемы две:

• Трудно придумать сложный пароль.
• Даже если вы создадите пароль, содержащий случайный набор символов, тяжело (иногда просто невозможно) его запомнить.

С первой проблемой поможет справиться онлайн генератор паролей. В интернете можно найти большое количество сервисов, предлагающих быстро создать сложный пароль из букв, цифр, специальных символов.

Работают онлайн генераторы по одному принципу: вы указываете, какие символы нужно использовать, выбираете требуемое количество знаков и нажимаете «Сгенерировать». Отличаются сервисы лишь в частных моментах.

Например, на Pasw.ru можно сгенерировать сразу несколько десятков паролей (до 99 комбинаций). PassGen позволяет установить опцию автоматического исключения повторяющихся символов из ключа безопасности, то есть все знаки в нем будут в единственном числе.

Хранение ключей

Если сгенерировать пароль можно онлайн, то хранить ключи нужно на компьютере. Запись пароля на бумажке, в отдельном документе на компьютере, на стикере, приклеенном на экран – путь к несанкционированному доступу к данным. Так что здесь появляется вторая проблема: как запомнить созданный ключ.

На память надеяться не стоит, а вот на менеджера паролей можно положиться. Многие пользователи выбирают KeePass. Эта программа распространяется бесплатно и работает на Windows 7, Windows 10 и других современных версиях ОС от Microsoft. Кроме того, в KeePass есть встроенный генератор паролей, так что вам не придется каждый раз искать онлайн-сервисы.

Минус менеджера пароля только в том, что для него тоже нужен код доступа, который называется мастер-пароль. Но запомнить один мастер пароль гораздо проще, чем держать в уме несколько десятков сложных комбинаций. К тому же при его создании можно воспользоваться хитростью – взять за основу стихи, считалочки или любые другие запоминающиеся строчки и превратить их в сочетание букв, цифр и знаков.

Например, можно взять четверостишие, выделить первые буквы и знаки препинания, а затем написать их на латинской раскладке. Некоторые буквы можно заменить цифрами – «з» на «3», «о» на «0», «ч» на «4». В результате такой манипуляции из четырех строчек детского стихотворения, которое никогда не вылетит из головы, получится пароль U0d?D3ep.Gzc3hek, на взлом которого уйдет 3 триллиона лет.

Проверка сложности

На многих сайтах при регистрации пользователю показывают, хороший ли у него пароль. Убедиться в том, что сгенерированный код сложный, и взломать его быстро не получится, можно и самостоятельно, используя сервис ? В поле «Enter Password» вставьте сгенерированный пароль. В ответ вы получите примерное время, которое будет затрачено на взлом ключа на обычном компьютере. Если несколько миллионов или хотя бы тысяч лет, то код получился однозначно надежный.

Можно использовать и другие сервисы для проверки надежности: например, от Kaspersky Lab. Он тоже показывает время, необходимое для взлома пароля, заодно сообщая, что можно сделать за указанный промежуток.

Еще один интересный способ проверки – сервис «Стойкость пароля» на сайте 2ip.ru. Здесь результат выдается категоричный: ключ или надежный, или ненадежный.

Нужно понимать, что время взлома, которое показывают эти сервисы, весьма условно и рассчитано на случай, если взломщик использует обычный компьютер. Суперкомпьютер с фантастической производительностью справится с задачей быстрее, как и специальные машины для взлома паролей, которые могут тестировать до 90 млрд ключей в секунду. Но вряд ли людям, владеющим подобной техникой, понадобится ваш пароль от электронной почты, скайпа или Wi-Fi.

1 мая 2011 в 19:49

Простой и надежный пароль – коллективное творчество

• Информационная безопасность

Перечитав массу сопутствующей литературы и просмотрев тонну хабратопиков (ссылки на интересные приведены в конце статьи), я решил обобщить информацию об основных методах генерации надежного и запоминающегося пароля.

Начну с того, что для генерации и хранения своих паролей сам я пользуюсь замечательной программой KeePass . Ее функционала вполне хватает для всех моих скромных вебмастерских нужд. Основным ее недостатком является тот факт, что она тоже требует запоминать один главный пароль. Поэтому вся эта суета вокруг придумывания пароля также касается меня и всех счастливых обладателей программы KeePass или ее аналогов, т.к. один пароль придумать все-таки придется.

Поговорим о методах взлома

Чтобы понимать всю глубину проблемы, пару строк посвящу методике взлома. Итак, как же злоумышленник может узнать/угадать/подобрать ваш пароль?

1. Метод логического угадывания. Работает в системах с большим количеством пользователей. Злоумышленник пытается понять вашу логику при составлении пароля (логин+2 символа, логин наоборот, самые распространенные пароли и т.п.) и применяет эту логику ко всем пользователям. Если пользователей много, очень скоро произойдет коллизия и пароль будет угадан;
2. Перебор по словарю. Этот вид атаки применяется, когда база данных с хешированными паролями слита с сервера. Может сочетаться с заменой букв (опечатки) или с подстановкой цифр/слов в начало или конец слова в качестве приставки или суффикса. Также используются словари, набранные в неверной раскладке клавиатуры (русские слова в английской раскладке);
3. Перебор по таблице хешированных паролей. Передовой метод взлома паролей, когда хеши уже сгенерированы и остается только найти в базе соответствие хеша паролю. Работает очень быстро даже на слабых машинах и не оставляет никаких шансов владельцам коротких паролей.
4. Другие методы: социотехника и социальный инжиниринг, использование keylogger"ов, снифферов, троянов и т.п.

Надежность пароля

Обобщая информацию, полученную из разных достоверных источников, я выделю основные признаки устойчивого к взлому пароля (под взломом я подразумеваю перебор по базам хешей , когда алгоритм хеширования заранее известен):

1. Длина пароля (чем больше, тем лучше), для запущенных случаев рекомендуют использовать 15-тисимвольный пароль;
2. Отсутствие словарных слов и частей распространенных паролей в составе пароля;
3. Отсутствие шаблонов при составлении пароля (под шаблоном я понимаю логический алгоритм генерации пароля, например: «Med777ведев», «12@йцу@21» или даже «q1w2e3r4t5»);
4. Стохастические последовательности символов из различных групп (строчные, прописные, цифры, знаки препинания и спец-символы);

Однако, все мы люди с довольно ограниченными способностями к запоминанию несвязной информации, поэтому пароли, которые подходят под вышеописанные параметры, хоть и будут весьма стойки к взлому с одной стороны, но, с другой стороны, их очень непросто запомнить. Поэтому рассмотрим менее параноидальные варианты составления и запоминания паролей.

Как народ запоминает свои пароли?

Проанализировав способы генерации паролей хабралюдей, я пришел к выводу, что основная методология запоминания пароля основывается на составлении логического или ассоциативного ряда. Также используются всевозможные искажения слов. Это могут быть:

1. Названия домена вперемежку с логином («gooUSERglcom», «UmailruSer»);
2. Определенная стандартная фраза, которая прикрепляется к домену («passgoogleru», «passhabrahabrru»);
3. Распространенное слово вперемежку со значащими цифрами и другими знаками (« », где 32167 – чит, который вызывал 5 черных драконов в Heroes of Might & Magic);
4. Русские слова в английской раскладке («,k.lj }