Cum să vă verificați parola. Un nou algoritm pentru verificarea puterii parolelor. Crearea unei chei complexe

Prieteni, astăzi avem un subiect foarte interesant și ne așteaptă trei întrebări la fel de interesante. Cât de puternică este parola mea? Cât timp va dura să-l pirateze? Cum se face o parolă mai mult sau mai puțin sigură?

La aceste întrebări răspunde serviciul „Cât de sigură este parola mea?”, care în traducere sună astfel: „Cât de sigură este parola mea”.

Site-ul oficial: http://www.howsecureismypassword.net/

Acest serviciu arată astfel:

Trebuie doar să introducem o parolă și să verificăm puterea acesteia.

Să adăugăm combinația de numere 12345678 în fereastra principală a site-ului și să vedem ce ne „spune” acest serviciu:

Sistemul produce următoarele:

Parola 12345678 este una dintre cele mai comune TOP 10 parole și poate fi spartă instantaneu.
Nu este recomandabil să folosiți o parolă sub forma unei date de naștere sau a unui număr de telefon.
Parola noastră conține doar litere și cifre (în acest caz este vorba doar de cifre). Sistemul recomandă utilizarea suplimentară a caracterelor și spațiilor non-standard.

Acum voi încerca să introduc o parolă de 20 de cifre:

Rezultatul va fi mai bun:

Parola are mai mult de 16 caractere, așa că totul este în regulă.
Parola mea nu este standard, deoarece conține caractere nestandard (spațiu).
Conform calculelor sistemului, va dura 1 quintilion de ani pentru ca parola mea să fie spartă (acesta este unul urmat de 18 zerouri).

Apropo, dacă introducem caractere rusești, serviciul consideră aceasta o soluție nestandard.

Serviciul oferă, de asemenea, crearea automată a unei parole:

Majoritatea atacatorilor nu se deranjează cu metode sofisticate de furt de parole. Ei iau combinații care sunt ușor de ghicit. Aproximativ 1% din toate parolele existente în prezent pot fi ghicite în patru încercări.

Cum este posibil acest lucru? Foarte simplu. Încercați cele mai comune patru combinații din lume: parolă, 123456, 12345678, qwerty. După o astfel de trecere, în medie, 1% din toate „sicriurile” sunt deschise.

Să presupunem că ești unul dintre acei 99% dintre utilizatori a căror parolă nu este atât de simplă. Chiar și atunci, performanța software-ului modern de hacking trebuie luată în considerare.

John the Ripper este un program gratuit și disponibil public care poate verifica milioane de parole pe secundă. Unele mostre de software comercial specializat pretind o capacitate de 2,8 miliarde de parole pe secundă.

Inițial, programele de hacking rulează printr-o listă cu cele mai comune combinații din punct de vedere statistic, apoi apelează la dicționarul complet. Tendințele parolelor utilizatorului se pot schimba ușor în timp, iar aceste modificări sunt luate în considerare la actualizarea acestor liste.

De-a lungul timpului, tot felul de servicii și aplicații web au decis să complice cu forță parolele create de utilizatori. Au fost adăugate cerințe conform cărora parola trebuie să aibă o anumită lungime minimă, să conțină numere, majuscule și caractere speciale. Unele servicii iau acest lucru atât de în serios încât să vină cu o parolă pe care sistemul o acceptă durează foarte mult și obositor.

Problema cheie este că aproape orice utilizator nu generează o parolă cu adevărat rezistentă la ghicire, ci încearcă doar să îndeplinească cerințele minime ale sistemului pentru compoziția parolei.

Rezultatul sunt parole în stilul parolă1, parolă123, parolă, parolă, parolă! și incredibil de imprevizibil p@ssword.

Imaginează-ți că trebuie să schimbi parola lui Spiderman. Cel mai probabil va arăta ca $pider_Man1. Original? Mii de oameni îl vor schimba folosind același algoritm sau foarte similar.

Dacă atacatorul cunoaște aceste cerințe minime, atunci situația doar se înrăutățește. Din acest motiv, cerința impusă de a face parolele mai complexe nu oferă întotdeauna parole mai bune și adesea creează un fals sentiment de securitate sporită.

Cu cât o parolă este mai ușor de reținut, cu atât este mai probabil să ajungă în dicționarele programelor de cracare. Ca rezultat, se dovedește că o parolă cu adevărat puternică este pur și simplu imposibil de reținut, ceea ce înseamnă că trebuie să fie undeva.

Potrivit experților, chiar și în această eră digitală, oamenii încă se pot baza pe o bucată de hârtie cu parole scrise pe ea. Este convenabil să păstrați o astfel de cearșaf într-un loc ascuns de privirile indiscrete, de exemplu într-o poșetă sau portofel.

Cu toate acestea, o foaie de parole nu rezolvă problema. Parolele lungi nu sunt doar greu de reținut, ci și de introdus. Situația este agravată de tastaturile virtuale de pe dispozitivele mobile.

Interacționând cu zeci de servicii și site-uri, mulți utilizatori lasă în urmă un șir de parole identice. Ei încearcă să folosească aceeași parolă pentru fiecare site, ignorând complet riscurile.

În acest caz, unele site-uri acționează ca o bonă, obligându-te să complici combinația. Drept urmare, utilizatorul pur și simplu nu își poate da seama cum a trebuit să-și modifice parola unică standard pentru acest site.

Amploarea problemei a devenit pe deplin realizată în 2009. Apoi, din cauza unei gauri de securitate, un hacker a reușit să fure baza de date de autentificare și parole pentru RockYou.com, o companie care publică jocuri pe Facebook. Atacatorul a plasat baza de date în domeniul public. În total, conținea 32,5 milioane de înregistrări cu nume de utilizator și parole pentru conturi. S-au mai întâmplat scurgeri de informații, dar amploarea acestui eveniment a arătat întreaga imagine.

Cea mai populară parolă de pe RockYou.com a fost 123456, folosită de aproape 291.000 de persoane. Bărbații sub 30 de ani au preferat mai des temele sexuale și vulgaritatea. Persoanele în vârstă de ambele sexe au apelat adesea la una sau alta zonă culturală atunci când alegeau o parolă. De exemplu, Epsilon793 nu pare o opțiune atât de proastă, cu excepția faptului că această combinație a fost în Star Trek. Numărul de șapte cifre 8675309 a fost văzut de multe ori, deoarece a fost prezentat într-una dintre melodiile lui Tommy Tutone.

De fapt, crearea unei parole puternice este o sarcină simplă, tot ce trebuie să faceți este să creați o combinație de caractere aleatorii.

Nu vei putea crea în capul tău o combinație matematică perfect aleatorie, dar nu trebuie. Există servicii speciale care generează combinații cu adevărat aleatorii. De exemplu, random.org poate crea parole ca aceasta:

mvAWzbvf;
83cpzBgA;
tn6kDB4T;
2T9UPPd4;
BLJbsf6r.

Aceasta este o soluție simplă și elegantă, mai ales pentru cei care folosesc stocarea parolelor.

Din păcate, majoritatea utilizatorilor continuă să folosească parole simple, slabe, ignorând chiar regula „parole diferite pentru fiecare site”. Pentru ei, confortul este mai important decât siguranța.

Situațiile în care o parolă poate fi în pericol pot fi împărțite în 3 mari categorii:

Aleatoriu, în care o persoană pe care o cunoști încearcă să-ți afle parola, pe baza informațiilor despre tine cunoscute de el. Adesea, un astfel de hoț vrea doar să joace o glumă, să afle ceva despre tine sau să-ți facă feste murdare.
Atacurile în masă, când absolut orice utilizator al anumitor servicii poate deveni victimă. În acest caz, se utilizează software specializat. Cele mai puțin sigure site-uri sunt selectate pentru atac, permițând introducerea mai multor variații de parole într-o perioadă scurtă de timp.
țintit, combinând primirea de sfaturi sugestive (ca în primul caz) și utilizarea de software specializat (ca într-un atac în masă). Aici vorbim despre încercarea de a obține informații cu adevărat valoroase. Doar o parolă aleatorie suficient de lungă vă va ajuta să vă protejați, a cărei selecție va dura timp comparabil cu durata parolei dvs.

După cum puteți vedea, absolut oricine poate deveni o victimă. Declarații de genul „nu-mi vor fura parola pentru că nimeni nu are nevoie de mine” nu sunt relevante, deoarece poți ajunge într-o situație similară complet accidental, întâmplător, fără niciun motiv aparent.

Cei care dețin informații valoroase, sunt implicați în afaceri sau sunt în conflict cu cineva din motive financiare (de exemplu, împărțirea proprietății în timpul unui divorț, concurență în afaceri) ar trebui să ia și mai în serios protecția prin parolă.

În 2009, Twitter (în sensul întregului serviciu) a fost spart doar pentru că administratorul a folosit cuvântul fericire ca parolă. Un hacker l-a ridicat și l-a postat pe site-ul Digital Gangster, ceea ce a dus la deturnarea conturilor Obama, Britney Spears, Facebook și Fox News.

Acronime

Ca în orice alt aspect al vieții, trebuie întotdeauna să facem un compromis între securitatea maximă și confortul maxim. Cum să găsești media de aur? Ce strategie de generare a parolelor vă va permite să creați combinații puternice pe care să le amintiți cu ușurință?

În acest moment, cea mai bună combinație de fiabilitate și comoditate este să convertiți o frază sau o expresie într-o parolă.

Este selectat un set de cuvinte pe care să le amintiți întotdeauna, iar parola este o combinație a primelor litere ale fiecărui cuvânt. De exemplu, Fie ca forța să fie cu tine se transformă în Mtfbwy.

Cu toate acestea, deoarece cele mai faimoase vor fi folosite ca inițiale, programele vor primi în cele din urmă aceste acronime în listele lor. De fapt, un acronim conține doar litere și, prin urmare, este obiectiv mai puțin fiabil decât o combinație aleatorie de simboluri.

Alegerea corectă a frazei vă va ajuta să scăpați de prima problemă. De ce să transformi o expresie de renume mondial într-o parolă acronim? Probabil că îți amintești câteva vorbe care sunt relevante doar în cercul tău apropiat. Să presupunem că ai auzit o frază foarte memorabilă de la un barman la un local local. Foloseste-l.

Și este încă puțin probabil ca parola acronimului pe care o generați să fie unică. Problema cu acronimele este că expresiile diferite pot consta din cuvinte care încep cu aceleași litere și sunt aranjate în aceeași succesiune. Din punct de vedere statistic, în diferite limbi, există o frecvență crescută a anumitor litere care apar ca începători de cuvinte. Programele vor ține cont de acești factori, iar eficiența acronimelor din versiunea originală va scădea.

Metoda inversă

Soluția poate fi metoda de generare inversă. Creați o parolă complet aleatorie în random.org și apoi transformați caracterele acesteia într-o frază semnificativă și memorabilă.

Adesea, serviciile și site-urile oferă utilizatorilor parole temporare, care sunt acele combinații perfect aleatorii. Veți dori să le schimbați pentru că nu le veți putea aminti, dar dacă vă uitați puțin mai atent, devine evident că nu trebuie să vă amintiți parola. De exemplu, să luăm o altă opțiune de la random.org - RPM8t4ka.

Deși pare lipsit de sens, creierul nostru este capabil să găsească anumite modele și corespondențe chiar și într-un astfel de haos. Pentru început, puteți observa că primele trei litere din el sunt majuscule, iar următoarele trei sunt litere mici. 8 este de două ori (în engleză de două ori - t) 4. Uită-te puțin la această parolă și cu siguranță vei găsi propriile asocieri cu setul de litere și numere propus.

Dacă poți memora șiruri de cuvinte fără sens, atunci folosește-l. Lasă parola să se transforme în rotații pe minut 8 piesa 4 katty. Orice conversie pentru care creierul tău este mai potrivit va face.

O parolă aleatorie este standardul de aur în tehnologia informației. Este prin definiție mai bună decât orice parolă creată de om.

Dezavantajul acronimelor este că, în timp, răspândirea unei astfel de tehnici își va reduce eficacitatea, iar metoda inversă va rămâne la fel de fiabilă, chiar dacă toți oamenii de pe pământ o folosesc de o mie de ani.

O parolă aleatorie nu va fi inclusă în lista de combinații populare, iar un atacator care folosește o metodă de atac în masă va găsi o astfel de parolă doar folosind forța brută.

Să luăm o parolă aleatorie simplă care ține cont de majuscule și numere - adică 62 de caractere posibile pentru fiecare poziție. Dacă facem parola doar 8 cifre, obținem 62^8 = 218 trilioane de opțiuni.

Chiar dacă numărul de încercări într-o anumită perioadă de timp este nelimitat, cel mai comercial software specializat, cu o capacitate de 2,8 miliarde de parole pe secundă, va petrece în medie 22 de ore încercând să găsească combinația potrivită. Pentru a fi sigur, adăugăm doar 1 caracter suplimentar la o astfel de parolă - și va dura mulți ani pentru ao sparge.

O parolă aleatorie nu este invulnerabilă, deoarece poate fi furată. Există multe opțiuni, de la citirea intrărilor de la o tastatură la o cameră pe umăr.

Un hacker poate ataca serviciul în sine și poate obține date direct de la serverele sale. În această situație, nimic nu depinde de utilizator.

O bază de încredere unică

Deci, am ajuns la punctul principal. Ce tactici de parole aleatorii ar trebui să folosești în viața reală? Din punct de vedere al echilibrului și al confortului, „filozofia unei parole puternice” va funcționa bine.

Principiul este că utilizați aceeași bază - o parolă super-securizată (variațiile sale) pentru serviciile și site-urile care sunt cele mai importante pentru dvs.

Oricine își poate aminti o combinație lungă și complexă.

Nick Berry, consultant în securitatea informațiilor, permite folosirea acestui principiu, cu condiția ca parola să fie foarte bine protejată.

Prezența malware-ului pe computerul de pe care introduceți parola nu este permisă. Nu este permisă utilizarea aceleiași parole pentru site-uri mai puțin importante și distractive - parole mai simple vor fi suficiente pentru ei, deoarece piratarea unui cont aici nu va atrage consecințe fatale.

Este clar că o fundație de încredere trebuie modificată cumva pentru fiecare site. Ca o opțiune simplă, puteți adăuga o literă la început pentru a încheia numele site-ului sau serviciului. Dacă ne întoarcem la acea parolă aleatoare RPM8t4ka, atunci pentru autentificarea pe Facebook se va transforma în kRPM8t4ka.

Un atacator care vede o astfel de parolă nu va putea înțelege cum este generată parola contului tău. Problemele vor începe dacă cineva are acces la două sau mai multe dintre parolele tale generate astfel.

Intrebare secreta

Unii piratatori ignoră parolele cu totul. Aceștia acționează în numele proprietarului contului și simulează o situație în care ți-ai uitat parola și o vrei pentru o întrebare de securitate. În acest scenariu, el poate schimba parola la cererea sa, iar adevăratul proprietar va pierde accesul la contul său.

În 2008, cineva a obținut acces la e-mailul lui Sarah Palin, guvernatorul Alaska, și la acel moment și candidat la președintele SUA. Hoțul a răspuns la întrebarea secretă, care suna astfel: „Unde ți-ai cunoscut soțul?”

După 4 ani, Mitt Romney, care la vremea respectivă era și candidat la președintele SUA, și-a pierdut mai multe conturi la diverse servicii. Cineva a răspuns la întrebarea de securitate despre numele animalului de companie al lui Mitt Romney.

Ai ghicit deja ideea.

Nu puteți folosi date publice și ușor de ghicit ca întrebare și răspuns secret.

Întrebarea nu este nici măcar că aceste informații pot fi extrase cu atenție de pe Internet sau de la apropiați. Răspunsurile la întrebări în stilul „nume animal”, „echipă de hochei preferată” și așa mai departe sunt perfect selectate din dicționarele corespunzătoare de opțiuni populare.

Ca opțiune temporară, puteți folosi tactica unui răspuns absurd. Mai simplu spus, răspunsul nu ar trebui să aibă nimic de-a face cu întrebarea de securitate. Numele de fată al mamei lui? Difenhidramină. Numele animalului de companie? 1991.

Cu toate acestea, o astfel de tehnică, dacă se răspândește, va fi luată în considerare în programele relevante. Răspunsurile absurde sunt adesea stereotipe, adică unele fraze vor apărea mult mai des decât altele.

De fapt, nu este nimic greșit în a folosi răspunsuri reale, trebuie doar să alegi întrebarea cu înțelepciune. Dacă întrebarea nu este standard, iar răspunsul la ea este cunoscut doar de tine și nu poate fi ghicit după trei încercări, atunci totul este în ordine. Beneficiul unui răspuns sincer este că nu îl vei uita în timp.

Numărul de identificare personală (PIN) este o lacăt ieftină pe care . Nimeni nu se deranjează să creeze o combinație mai fiabilă a cel puțin acestor patru cifre.

Acum oprește-te. Chiar acum. Chiar acum, fără a citi următorul paragraf, încercați să ghiciți cel mai popular cod PIN. Gata?

Nick Berry estimează că 11% din populația SUA folosește combinația 1234 ca cod PIN (unde este posibil să-l schimbi singur).

Hackerii nu acordă atenție codurilor PIN, deoarece fără prezența fizică a cardului, codul este inutil (acest lucru poate justifica parțial lungimea scurtă a codului).

Berry a luat liste de parole care au apărut după scurgeri de informații în rețea, care erau combinații de patru numere. Cel mai probabil, persoana care folosește parola 1967 a ales-o dintr-un motiv. Al doilea cod PIN cel mai popular este 1111, 6% dintre oameni preferând acest cod. Pe locul trei se află 0000 (2%).

Să presupunem că persoana care cunoaște aceste informații are în mâini informațiile altcuiva. Trei încercări înainte ca cardul să fie blocat. Matematica simplă vă permite să calculați că această persoană are șanse de 19% să ghicească PIN-ul dacă introduce 1234, 1111 și 0000 în succesiune.

Acesta este probabil motivul pentru care marea majoritate a băncilor stabilesc ei înșiși coduri PIN pentru cardurile de plastic emise.

Cu toate acestea, mulți protejează smartphone-urile cu un cod PIN și aici se aplică următorul rating de popularitate: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 6833, 863, 856 4321, 2001, 1010.

Adesea, PIN-ul reprezintă un an (anul nașterii sau data istorică).

Mulți oameni le place să facă PIN-uri sub formă de perechi repetate de numere (și perechile în care prima și a doua cifră diferă cu una sunt deosebit de populare).

Tastaturile numerice ale dispozitivelor mobile afișează combinații precum 2580 în partea de sus - pentru a o tasta, trebuie doar să faceți o trecere dreaptă de sus în jos în centru.

În Coreea, numărul 1004 este în consonanță cu cuvântul „înger”, ceea ce face ca această combinație să fie destul de populară acolo.

Concluzie

Accesați random.org și creați 5-10 parole de candidat.
Alegeți o parolă pe care o puteți transforma într-o frază memorabilă.
Utilizați această expresie pentru a vă aminti parola.

Orice utilizator are site-uri preferate: acolo comunică, joacă, urmărește videoclipuri, ascultă muzică. Unii cumpără online. Desigur, pentru comoditatea utilizatorului, se înregistrează pe site-uri pentru a avea acces personal la anumite servicii. Una dintre cele mai importante atribute ale oricărui cont este, desigur, parola. Cum să verificați puterea unei parole și complexitatea acesteia - vă voi spune în articolul de astăzi!

Deci, există un serviciu foarte convenabil pe Internet pentru a verifica puterea parolei dvs. Așa se numește .

Atenţie! Algoritmul de verificare a complexității parolei nu implică furtul parolelor tale!

Orice ai nevoie - doar introduceți parola în formular și aflați, după ce perioadă de timp poate fi recuperată parola dvs. În plus, mai jos puteți vedea sfaturi pentru generarea parolelor:

Parola trebuie să fie medie\lungă - cel puțin 8-10 caractere
Este recomandabil să folosiți diferite simboluri, litere și numere amestecate în parolă
Nu este de dorit să folosiți combinații de litere și numere care apar într-un rând pe tastatură

De exemplu, parola administratorului site-ului ca aceasta:

Sper că parolele tale nu vor fi acum mai puțin sigure și nu vor lăsa nicio șansă atacatorilor! Noroc!

Stiri similare:

Lucrul cu discuri

Multe site-uri încearcă să ajute utilizatorii să stabilească parole mai complexe. Pentru a face acest lucru, sunt stabilite reguli de bază, care de obicei necesită specificarea a cel puțin o literă mare, o literă mică, un număr și așa mai departe. Regulile sunt de obicei primitive astfel:

„parolă” => [ „obligatoriu”, „confirmat”, „min:8”, „regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
Din păcate, astfel de reguli simple înseamnă că parola Abcd1234 va fi considerată bună și de înaltă calitate, la fel ca Password1. Pe de altă parte, parola mu-icac-of-jaz-doad nu va trece validarea.

Iată primele două parole.

Iată două parole care nu vor trece de verificarea de securitate.

Ce să fac? Poate că nu ar trebui să forțați folosirea caracterelor speciale și să introduceți din ce în ce mai multe reguli noi, cum ar fi interzicerea repetării mai multor caractere la rând, folosind nu unul, ci două sau trei caractere și numere speciale, mărind lungimea minimă a parolei, etc.

În loc de toate acestea, trebuie doar să faceți un lucru simplu - doar instalați constrângere de entropie minimă parola, si gata! Puteți utiliza evaluatorul gata făcut zxcvbn pentru aceasta.

Există și alte soluții în afară de zxcvbn. Chiar săptămâna trecută, o lucrare (pdf) a cercetătorilor de securitate de la Symantec Research și institutul francez de cercetare Eurecom a fost prezentată la conferința ACM Computer and Communications Security. Ei au dezvoltat un nou verificator de putere a parolei care estimează numărul aproximativ de încercări de forță brută necesare folosind metoda Monte Carlo. Metoda propusă se distinge prin faptul că necesită o cantitate minimă de resurse de calcul pe server, este potrivită pentru un număr mare de modele probabilistice și, în același timp, este destul de precisă. Metoda a fost testată pe parole din baza de date de 10 milioane de parole Xato, care sunt în domeniul public (copie pe Archive.org) - a arătat un rezultat bun. Adevărat, acest studiu realizat de Symantec Research și Eurecom este de natură mai degrabă teoretică, ei nu și-au făcut programul disponibil public în nicio formă acceptabilă. Cu toate acestea, scopul lucrării este clar: în loc de reguli euristice pentru verificarea parolelor, este recomandabil ca site-urile web să implementeze verificarea entropiei.

Iată primele două parole.

Iată două parole care nu vor trece de verificarea de securitate.