Meniul
AcasăAndroid

Cum să creați și să vă amintiți o parolă puternică. Algoritm nou pentru verificarea puterii parolei

Majoritatea atacatorilor nu se deranjează cu metode sofisticate de furt de parole. Ei iau combinații care sunt ușor de ghicit. Aproximativ 1% din toate cele existente acest moment Parolele pot fi ghicite în patru încercări.

Cum este posibil acest lucru? Foarte simplu. Încercați cele mai comune patru combinații din lume: parolă, 123456, 12345678, qwerty. După o astfel de trecere, în medie, 1% din toate „sicriurile” sunt deschise.

Să presupunem că ești unul dintre acei 99% dintre utilizatori a căror parolă nu este atât de simplă. Chiar și în acest caz, este necesar să se țină cont de productivitatea modernului software pentru hacking.

John the Ripper este un program gratuit situat în acces liber, vă permite să verificați milioane de parole pe secundă. Unele mostre de software comercial specializat pretind o capacitate de 2,8 miliarde de parole pe secundă.

Inițial, programele de hacking rulează printr-o listă cu cele mai comune combinații din punct de vedere statistic, apoi apelează la dicționar complet. Tendințele parolelor utilizatorului se pot schimba ușor în timp, iar aceste modificări sunt luate în considerare la actualizarea acestor liste.

De-a lungul timpului, tot felul de servicii și aplicații web au decis să complice cu forță parolele, generate de utilizator. Au fost adăugate cerințe, conform cărora parola trebuie să aibă o anumită lungime minimă, să conțină numere, majuscule și Simboluri speciale. Unele servicii iau acest lucru atât de în serios încât să vină cu o parolă pe care sistemul o acceptă durează foarte mult și obositor.

Problema cheie este că aproape orice utilizator nu generează o parolă cu adevărat rezistentă la ghicit, ci încearcă doar să îndeplinească cerințele minime ale sistemului pentru compoziția parolei.

Rezultatul sunt parole în stilul parolă1, parolă123, parolă, parolă, parolă! și incredibil de imprevizibil p@ssword.

Imaginează-ți că trebuie să schimbi parola lui Spiderman. Cel mai probabil va arăta ca $pider_Man1. Original? Mii de oameni îl vor schimba folosind același algoritm sau foarte similar.

Dacă hoțul le știe Cerințe minime, atunci situația doar se înrăutățește. Din acest motiv, cerința impusă de a face parolele mai complexe nu oferă întotdeauna parole mai bune și adesea creează un fals sentiment de securitate sporită.

Cu cât o parolă este mai ușor de reținut, cu atât este mai probabil să ajungă în dicționarele programelor de hacking. În cele din urmă, se dovedește că într-adevăr parola puternica Este pur și simplu imposibil de reținut, ceea ce înseamnă că trebuie să fie undeva.

Potrivit experților, chiar și în epoca noastră tehnologii digitale oamenii încă se pot baza pe o bucată de hârtie cu parole scrise pe ea. Este convenabil să păstrați o astfel de foaie ascunsă de priviri indiscrete loc, cum ar fi o poșetă sau un portofel.

Cu toate acestea, o foaie de parole nu rezolvă problema. Parolele lungi nu sunt doar greu de reținut, ci și de introdus. Situația se înrăutățește tastaturi virtuale dispozitive mobile.

Interacționând cu zeci de servicii și site-uri, mulți utilizatori lasă în urmă un șir de parole identice. Ei încearcă să folosească aceeași parolă pentru fiecare site, ignorând complet riscurile.

ÎN în acest caz, Unele site-uri acționează ca o bonă, obligându-te să complici combinația. Drept urmare, utilizatorul pur și simplu nu își poate da seama cum a trebuit să-și modifice standardul o singură parolă pentru acest site.

Amploarea problemei a devenit pe deplin realizată în 2009. Apoi, din cauza unei gauri de securitate, un hacker a reușit să fure baza de date de autentificare și parole pentru RockYou.com, o companie care publică jocuri pe Facebook. Atacatorul a introdus baza de date acces deschis. În total, conținea 32,5 milioane de înregistrări cu nume de utilizator și parole pentru conturi. S-au mai întâmplat scurgeri de informații, dar amploarea acestui eveniment a arătat întreaga imagine.

Cel mai parola populară pe RockYou.com combinația a fost 123456. Aproape 291.000 de persoane au folosit-o. Bărbații sub 30 de ani au preferat mai des temele sexuale și vulgaritatea. Persoanele în vârstă de ambele sexe au apelat adesea la una sau alta zonă culturală atunci când alegeau o parolă. De exemplu, Epsilon793 nu pare o opțiune atât de proastă, cu excepția faptului că această combinație a fost în Star Trek. Numărul de șapte cifre 8675309 a fost văzut de multe ori, deoarece a fost prezentat într-una dintre melodiile lui Tommy Tutone.

De fapt, crearea unei parole puternice este o sarcină simplă; tot ce trebuie să faceți este să creați o combinație de caractere aleatorii.

Nu vei putea crea în capul tău o combinație matematică perfect aleatorie, dar nu trebuie. Exista servicii speciale, generând combinații cu adevărat aleatorii. De exemplu, random.org poate crea parole ca aceasta:

  • mvAWzbvf;
  • 83cpzBgA;
  • tn6kDB4T;
  • 2T9UPPd4;
  • BLJbsf6r.

Aceasta este o soluție simplă și elegantă, mai ales pentru cei care folosesc stocarea parolelor.

Din păcate, majoritatea utilizatorilor continuă să folosească parole simple, slabe, ignorând chiar și „ parole diferite pentru fiecare site.” Pentru ei, confortul este mai important decât siguranța.

Situațiile în care o parolă poate fi în pericol pot fi împărțite în 3 mari categorii:

  • Aleatoriu, în care o persoană pe care o cunoști încearcă să-ți afle parola, pe baza informațiilor despre tine cunoscute de el. Adesea, un astfel de hoț vrea doar să joace o glumă, să afle ceva despre tine sau să-ți facă feste murdare.
  • Atacurile în masă, când absolut orice utilizator al anumitor servicii poate deveni victimă. În acest caz, se utilizează software specializat. Cele mai puțin sigure site-uri sunt selectate pentru atac, permițând introducerea mai multor variații de parole într-o perioadă scurtă de timp.
  • țintit, combinând primirea de sfaturi sugestive (ca în primul caz) și utilizarea de software specializat (ca într-un atac în masă). Aici vorbim despre încercarea de a obține informații cu adevărat valoroase. Doar o parolă aleatorie suficient de lungă vă va ajuta să vă protejați, a cărei selecție va dura timp comparabil cu durata parolei dvs.

După cum puteți vedea, absolut oricine poate deveni o victimă. Declarații precum „nu-mi vor fura parola pentru că nimeni nu are nevoie de mine” nu sunt relevante, pentru că poți fi prins situație similară complet întâmplător, întâmplător, fără niciun motiv aparent.

Cei care au acces la parole ar trebui să ia și mai în serios protecția prin parolă. informatie pretioasa, este asociat cu afaceri sau este în conflict cu cineva din motive financiare (de exemplu, împărțirea proprietății în timpul unui divorț, concurență în afaceri).

În 2009, Twitter (în sensul întregului serviciu) a fost spart doar pentru că administratorul a folosit cuvântul fericire ca parolă. Un hacker l-a ridicat și l-a postat pe site-ul Digital Gangster, ceea ce a dus la deturnarea conturilor Obama, Britney Spears, Facebook și Fox News.

Acronime

Ca în orice alt aspect al vieții, trebuie întotdeauna să facem un compromis între siguranță maximă și confort maxim. Cum să găsești media de aur? Ce strategie de generare a parolelor vă va permite să creați combinații puternice pe care să le amintiți cu ușurință?

În acest moment, cea mai bună combinație de fiabilitate și comoditate este să convertiți o frază sau o expresie într-o parolă.

Este selectat un set de cuvinte pe care să le amintiți întotdeauna, iar parola este o combinație a primelor litere ale fiecărui cuvânt. De exemplu, Fie ca forța să fie cu tine se transformă în Mtfbwy.

Cu toate acestea, deoarece cele mai faimoase vor fi folosite ca inițiale, programele vor primi în cele din urmă aceste acronime în listele lor. De fapt, un acronim conține doar litere și, prin urmare, este obiectiv mai puțin fiabil decât o combinație aleatorie de simboluri.

Te va ajuta să scapi de prima problemă alegerea potrivita fraze. De ce să transformi o expresie de renume mondial într-o parolă acronim? Probabil că îți amintești câteva vorbe care sunt relevante doar în cercul tău apropiat. Să presupunem că ai auzit o frază foarte memorabilă de la un barman la un local local. Foloseste-l.

Și este încă puțin probabil ca parola acronimului pe care o generați să fie unică. Problema cu acronimele este că expresiile diferite pot consta din cuvinte care încep cu aceleași litere și sunt aranjate în aceeași succesiune. Statistic în diverse limbi Există o frecvență crescută a anumitor litere care apar ca începători de cuvinte. Programele vor ține cont de acești factori, iar eficiența acronimelor din versiunea originală va scădea.

Metoda inversă

Soluția ar putea fi metoda inversă generaţie. Creați o parolă complet aleatorie în random.org și apoi transformați caracterele acesteia într-o frază semnificativă și memorabilă.

Adesea, serviciile și site-urile oferă utilizatorilor parole temporare, reprezentând acele combinații perfect aleatorii. Veți dori să le schimbați pentru că nu le veți putea aminti, dar dacă vă uitați puțin mai atent, devine evident că nu trebuie să vă amintiți parola. De exemplu, să luăm o altă opțiune de la random.org - RPM8t4ka.

Deși pare lipsit de sens, creierul nostru este capabil să găsească anumite modele și corespondențe chiar și într-un astfel de haos. Pentru început, puteți observa că primele trei litere din el sunt majuscule, iar următoarele trei sunt litere mici. 8 este de două ori (în engleză de două ori - t) 4. Uită-te puțin la această parolă și cu siguranță vei găsi propriile asocieri cu setul de litere și numere propus.

Dacă poți memora șiruri de cuvinte fără sens, atunci folosește-l. Lasă parola să se transforme în rotații pe minut 8 piesa 4 katty. Orice conversie pentru care creierul tău este mai potrivit va face.

O parolă aleatorie este standardul de aur în tehnologia informației. Este prin definiție mai bună decât orice parolă creată de om.

Dezavantajul acronimelor este că, în timp, răspândirea unei astfel de tehnici va reduce eficacitatea acesteia și metoda inversă va rămâne la fel de de încredere chiar dacă toți oamenii de pe pământ îl vor folosi timp de o mie de ani.

O parolă aleatorie nu va fi inclusă în lista de combinații populare, iar un atacator care folosește o metodă de atac în masă va găsi o astfel de parolă doar folosind forța brută.

Să luăm o parolă aleatorie simplă care ia în considerare litere mari și numere - adică 62 de caractere posibile pentru fiecare poziție. Dacă facem parola doar 8 cifre, obținem 62^8 = 218 trilioane de opțiuni.

Chiar dacă numărul de încercări într-o anumită perioadă de timp este nelimitat, cel mai comercial software specializat, cu o capacitate de 2,8 miliarde de parole pe secundă, va petrece în medie 22 de ore încercând să găsească combinația potrivită. Pentru a fi sigur, adăugați doar 1 la această parolă caracter suplimentar- și va dura mulți ani pentru a o sparge.

O parolă aleatorie nu este invulnerabilă, deoarece poate fi furată. Există multe opțiuni, de la citirea intrărilor de la o tastatură la o cameră pe umăr.

Un hacker poate ataca serviciul în sine și poate obține date direct de la serverele sale. În această situație, nimic nu depinde de utilizator.

O bază de încredere unică

Deci, am ajuns la punctul principal. Ce tactici să folosești folosind o parolă aleatorie viata reala? Din punct de vedere al echilibrului și al confortului, „filozofia unei parole puternice” va funcționa bine.

Principiul este că utilizați aceeași bază - o parolă super-securizată (variațiile sale) pentru serviciile și site-urile care sunt cele mai importante pentru dvs.

Amintește-ți unul lung și combinație complexă toată lumea o poate face.

Nick Berry, consultant în probleme securitatea informatiei, permite utilizarea acestui principiu, cu condiția ca parola să fie foarte bine protejată.

Prezența malware-ului pe computerul de pe care introduceți parola nu este permisă. Nu este permisă utilizarea aceleiași parole pentru site-uri mai puțin importante și de divertisment - mai mult decât atât va fi suficient pentru ele. parole simple, deoarece piratarea unui cont aici nu va avea consecințe fatale.

Este clar că o fundație de încredere trebuie modificată cumva pentru fiecare site. La fel de varianta simpla puteți adăuga o literă la început pentru a încheia numele site-ului sau serviciului. Dacă ne întoarcem la asta parola aleatoare RPM8t4ka, apoi pentru autorizare pe Facebook se va transforma în kRPM8t4ka.

Un atacator care vede o astfel de parolă nu va putea înțelege cum este generată parola contului tău. Problemele vor începe dacă cineva are acces la două sau mai multe dintre parolele tale generate astfel.

Intrebare secreta

Unii piratatori ignoră parolele cu totul. Aceștia acționează în numele proprietarului contului și simulează o situație în care ți-ai uitat parola și o vrei pentru o întrebare de securitate. În acest scenariu, el poate schimba parola prin după plac, iar adevăratul proprietar va pierde accesul la contul său.

În 2008, cineva a obținut acces la e-mailul lui Sarah Palin, guvernatorul Alaska, și la acel moment și candidat la președintele SUA. Hoțul a răspuns la întrebarea secretă, care suna astfel: „Unde ți-ai cunoscut soțul?”

După 4 ani, Mitt Romney, care la acea vreme era și candidat la președinția SUA, și-a pierdut mai multe conturi pe diverse servicii. Cineva a răspuns la întrebarea de securitate despre numele animalului de companie al lui Mitt Romney.

Ai ghicit deja ideea.

Nu puteți utiliza date publice și ușor de ghicit ca întrebare și răspuns secret.

Întrebarea nu este nici măcar că aceste informații pot fi extrase cu atenție de pe Internet sau de la apropiați. Răspunsurile la întrebări în stilul „nume animal”, „echipă de hochei preferată” și așa mai departe sunt perfect selectate din dicționarele corespunzătoare de opțiuni populare.

Ca opțiune temporară, puteți folosi tactica unui răspuns absurd. Mai simplu spus, răspunsul nu ar trebui să aibă nicio legătură cu intrebare secreta. Numele de fată al mamei lui? Difenhidramină. Numele animalului de companie? 1991.

Cu toate acestea, o astfel de tehnică, dacă se răspândește, va fi luată în considerare în programele relevante. Răspunsurile absurde sunt adesea stereotipe, adică unele fraze vor apărea mult mai des decât altele.

De fapt, nu este nimic greșit în a folosi răspunsuri reale, trebuie doar să alegi întrebarea cu înțelepciune. Dacă întrebarea nu este standard, iar răspunsul la ea este cunoscut doar de tine și nu poate fi ghicit după trei încercări, atunci totul este în ordine. Beneficiul unui răspuns sincer este că nu îl vei uita în timp.

PIN

Numărul de identificare personală (PIN) este o lacăt ieftină pe care . Nimeni nu se deranjează să creeze o combinație mai fiabilă a cel puțin acestor patru cifre.

Acum oprește-te. Chiar acum. Chiar acum, fără a citi următorul paragraf, încercați să ghiciți cel mai popular cod PIN. Gata?

Nick Berry estimează că 11% din populația SUA folosește combinația 1234 ca cod PIN (unde este posibil să o schimbi singur).

Hackerii nu acordă atenție codurilor PIN, deoarece fără prezența fizică a cardului, codul este inutil (acest lucru poate justifica parțial lungimea scurtă a codului).

Berry a luat liste de parole care au apărut după scurgeri în rețea, care erau combinații de patru numere. Cel mai probabil, persoana care folosește parola 1967 a ales-o dintr-un motiv. Al doilea cod PIN cel mai popular este 1111, 6% dintre oameni preferând acest cod. Pe locul trei se află 0000 (2%).

Să presupunem că persoana care cunoaște aceste informații are în mâini informațiile altcuiva. Trei încercări înainte ca cardul să fie blocat. Matematica simplă vă permite să calculați că această persoană are șanse de 19% să ghicească PIN-ul dacă introduce 1234, 1111 și 0000 în succesiune.

Acesta este probabil motivul pentru care marea majoritate a băncilor setează coduri PIN pentru emise carduri de plastic tu.

Cu toate acestea, mulți protejează smartphone-urile cu un cod PIN și aici se aplică următorul rating de popularitate: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 6833, 863, 856 4321, 2001, 1010.

Adesea, PIN-ul reprezintă un an (anul nașterii sau data istorică).

Mulți oameni le place să facă PIN-uri sub formă de perechi repetate de numere (și perechile în care prima și a doua cifră diferă cu una sunt deosebit de populare).

Tastaturile numerice ale dispozitivelor mobile afișează combinații precum 2580 în partea de sus - pentru a o tasta, trebuie doar să faceți o trecere dreaptă de sus în jos în centru.

În Coreea, numărul 1004 este în consonanță cu cuvântul „înger”, ceea ce face ca această combinație să fie destul de populară acolo.

Concluzie

  1. Accesați random.org și creați 5-10 parole de candidat.
  2. Alegeți o parolă pe care o puteți transforma într-o frază memorabilă.
  3. Utilizați această expresie pentru a vă aminti parola.

Orice utilizator are site-uri preferate: acolo comunică, joacă, urmărește videoclipuri, ascultă muzică. Unii cumpără online. Desigur, pentru comoditatea utilizatorului, se înregistrează pe site-uri pentru a avea acces personal la anumite servicii. Una dintre cele mai atribute importante orice cont- aceasta este, desigur, parola. Cum să verificați puterea unei parole și complexitatea acesteia - vă voi spune în articolul de astăzi!

Deci, pe Internet există unul foarte serviciu convenabil verificând puterea parolei dvs. Așa se numește .

Atenţie! Algoritmul de verificare a complexității parolei nu implică furtul parolelor tale!

Orice ai nevoie - doar introduceți parola în formular și aflați, după ce perioadă de timp poate fi recuperată parola dvs. În plus, mai jos puteți vedea sfaturi pentru generarea parolei:

  • Parola trebuie să fie medie\lungă - cel puțin 8-10 caractere
  • Este recomandabil să folosiți diferite simboluri, litere și numere amestecate în parolă
  • Nu este de dorit să folosiți combinații de litere și numere care apar într-un rând pe tastatură

De exemplu, parola administratorului site-ului ca aceasta:

Sper că parolele tale nu vor fi acum mai puțin sigure și nu vor lăsa nicio șansă atacatorilor! Noroc!

Stiri similare:

Lucrul cu discuri

Analizorul de parole SeaMonkey

Acest analizor de parole a fost dezvoltat ca parte a proiectului SeaMonkey, un set gratuit de programe de internet create și întreținute de Seamonkey Council, un spin-off al Fundației Mozilla. Mecanismul de analiză a parolei în sine face parte din . Algoritmul muncii sale este de a calcula greutatea parolei, pe baza datelor despre caracterele din care este compusă parola. Greutatea parolei este calculată folosind următoarea formulă:
pwstrength= ((lungimea * 10) - 20) + (numeric * 10) + (simboluri numerice * 15) + (sus * 10) , unde
  • lungime egal cu 5 dacă numărul de caractere din parolă este mai mare de 5, sau egal cu lungimea parolei;
  • numeric egal cu 3 dacă numărul de cifre din parolă este mai mare de 3, în caz contrar egal cu numărul de cifre;
  • simboluri numerice se consideră egal cu 3 dacă numărul de caractere din parolă, altele decât litere, cifre și litere de subliniere este mai mare de 3, în caz contrar - numărul de astfel de caractere;
  • superior este egal cu 3 dacă numărul de litere mari este mai mare de 3, sau numărul de litere mari în caz contrar.
După calcul, greutatea parolei este normalizată, astfel încât valoarea acesteia să fie în intervalul de la 0 la 100. Normalizarea se efectuează atunci când valoarea ponderii nu se încadrează în acest interval. În cazul când pwstrength mai mică de 0, valoare pwstrength egal cu zero, iar atunci când este mai mare de 0, valoarea ponderii este setată la 100. Clasamentul parolei după putere este lăsat la latitudinea dezvoltatorilor care folosesc biblioteca.
După cum puteți vedea, analizatorul descris nu folosește verificări folosind dicționare, ceea ce face estimările sale oarecum unilaterale și probabil mai puțin precise în comparație cu programele de la Google și Microsoft discutate mai sus.

Contorul de putere a parolei (plugin jQuery)

O altă opțiune de evaluare a parolelor la nivelul clientului este Password Strength Meter(), un plugin conceput pentru cadru JavaScript jQuery.
Procedura de evaluare funcționează după cum urmează. Există multe calități cunoscute care fac ca o parolă să crească sau să-i scadă rezistența la ghicire. Fiecare calitate are propria sa greutate strict definită. Algoritmul constă într-o verificare pas cu pas a prezenței acestor calități într-o parolă și, dacă acestea sunt prezente, ponderea totală a parolei crește, pe baza valorii căreia, după vizualizarea tuturor caracteristicilor, o concluzie. este făcut despre nivelul de putere a parolei.
Să luăm în considerare algoritmul complet pentru procedura de evaluare a parolei:
  1. Greutatea parolei este setată la zero.
  2. Dacă lungimea parolei este mai mică de 4 caractere, atunci algoritmul se termină și rezultatul „parola este prea scurtă” este returnat. În caz contrar, treceți la pasul 3.
  3. Creștem greutatea parolei cu 4*len, Unde len- lungimea parolei.
  4. Se încearcă comprimarea parolei folosind la următorul algoritm. Dacă parola conține un subșir de genul SS, Unde S este un șir de lungime 1, apoi prima parte a acestui subșir este eliminată și compresia continuă din poziția începutului celei de-a doua părți a acestui subșir. De exemplu, aplicarea acestui algoritm șirului aaabbcab, ieșirea va fi șirul abcab. După efectuarea operației de compresie, greutatea parolei este redusă cu len - lenCompress, Unde len este lungimea parolei și lenCompress– lungimea parolei după compresie.
  5. Se încearcă comprimarea parolei pentru cazuri de șir S 2, 3 și 4 caractere. Greutatea parolei este redusă în mod similar cu cantitatea len - lenCompress. Rețineți că compresia se efectuează de fiecare dată pe parola care se verifică, și nu pe șirurile obținute în încercările anterioare.
  6. Dacă parola conține cel puțin 3 cifre, atunci creșteți greutatea cu 5.
  7. Dacă parola conține cel puțin 2 caractere, atunci creșteți greutatea cu 5.
  8. Dacă parola conține litere atât în ​​majuscule, cât și în minuscule, atunci creșteți greutatea parolei cu 10.
  9. Dacă parola conține litere și cifre, atunci creșteți greutatea parolei cu 15.
  10. Dacă parola conține caractere și numere, atunci creșteți greutatea cu 15.
  11. Dacă parola conține litere și simboluri, atunci creșteți greutatea cu 15.
  12. Dacă parola constă numai din litere sau doar cifre, atunci reduceți greutatea parolei cu 10.
  13. Dacă greutatea parolei este mai mică de 0, setați-o egală cu 0. Dacă este mai mare de 100, setați-o egală cu 100.
  14. O parolă a cărei greutate este mai mică de 34 este considerată „slabă”. Dacă greutatea este de la 34 la 67, atunci parola este clasificată drept „bună”, iar dacă este mai mare de 67, atunci parola este considerată „excelentă”.
Analizorul analizat, ca și produsul de la SeaMonkey, nu verifică parola folosind niciun dicționar. În plus, întrebarea rămâne deschisă cu privire la validitatea alegerii anumitor valori ale coeficienților de ponderare atunci când se formează o evaluare a parolei.
Disponibil care demonstrează funcționalitatea acestui plugin.

Universitatea Cornell - Verificator pentru puterea parolei

Serviciu oficial on-line oferit de Centrul de Securitate al Universității Cornell (Ithaca, SUA). Cu ajutorul acestuia, utilizatorii își pot verifica parola completând un formular web și trimițându-l pentru verificare. Evaluarea parolei, ca și în cazul serviciu Google, se face pe partea serverului.
Implementarea algoritmului nu este dezvăluită pentru acces public, cu toate acestea, descrierea serviciului indică cerințele pe care parola trebuie să le îndeplinească pentru ca verificarea să aibă succes:
  1. parola trebuie să aibă cel puțin 8 caractere;
  2. La alcătuirea unei parole, sunt folosite caractere din cel puțin trei alfabete din următoarea listă:
    • litere mari latine
    • litere latine mici
    • numere
    • caractere speciale (cum ar fi ! * () : |)
  3. parola nu trebuie să conțină cuvinte din dicționar;
  4. Parola nu trebuie să conțină secvențe de litere repetate (de exemplu, AAA) și secvențe precum abc, qwerty, 123, 321.
Aceste cerințe trebuie respectate cu strictețe. Dacă cel puțin o anumită cerință nu este îndeplinită, parola este considerată nesigură.
Următoarele critici pot fi aduse acestei abordări. Deci, o parolă cu o lungime arbitrar de lungă, de exemplu, o propoziție în limbaj natural, nu va îndeplini condiția nr. 3, care va furniza automat parolei cu un scor scăzut, deși acest lucru poate să nu fie în întregime justificat.

Tester pentru puterea parolei

Analizor de parole JavaScript, care este dezvoltat și întreținut ca parte a proiectului Rumkin.com.
Algoritmul de evaluare implementat în acest analizor se bazează pe Dispoziții generale teoria informaţiei. Evaluarea principală a unei parole este entropia acesteia, care este calculată folosind tabele cu diagrame pentru limba engleză.
Entropia (capacitatea de informare) a unei parole este o măsură a aleatoriei alegerii secvenței de simboluri care alcătuiesc parola, estimată prin metodele teoriei informației.
Capacitate de informare E măsurată în biți și caracterizează rezistența la ghicirea parolei folosind o metodă de forță brută, cu condiția să nu existe informații a priori despre natura parolei și atacatorul să folosească o strategie optimă de forță brută, în care numărul mediu așteptat de încercări înainte de un succes. unul este 2 E-1 . Potrivit creatorului acestui evaluator, pentru a reduce cantitatea de informații încărcate pe partea clientului, toate caracterele non-alfabetice au fost combinate într-un singur grup. Acest grup acționează ca un fel de simbol universal, care este folosit în tabelul de frecvență. După cum notează dezvoltatorul, cu această ipoteză, valoarea entropiei rezultate va fi mai mică decât în ​​cazul în care toate simbolurile sunt prezentate separat în tabelul de frecvență.
În funcție de valoarea de entropie obținută, parolei i se atribuie caracteristica corespunzătoare a puterii sale.
Entropie Nivel de durabilitate

Toată lumea știe că parolele pot fi complexe și nu atât de complexe. De exemplu, alpin- Nu e bun parolă complexă, iar setarea acesteia ca parolă root pe un milion de dispozitive conectate la Internet este cel puțin neînțelept. 7_U]Ah"C dimpotrivă, parola este destul de complexă. Orice utilizator avansat de internet vă va confirma acest lucru, iar unii chiar vă vor putea explica de ce. De exemplu, este mai lung și există o mulțime de simboluri diferite în el: aici aveți atât capital, cât și litere mari, și tot felul de personaje speciale. În general, este complex și cu siguranță mai complex decât o parolă alpin.

Cum poți compara complexitatea a două parole când diferența nu este atât de evidentă? De exemplu, ce parolă este mai dificilă: 7_U]Ah"C sau xrmdCawGZ? Deși a doua parolă pare să fie formată dintr-o varietate mai mică de caractere - litere cu majuscule diferite - este mai lungă cu un caracter. Este suficient acest lucru pentru a compensa lipsa alfabetului?

Alfabet este setul de caractere din care poate consta o parolă. În exemplul nostru, parola 7_U]Ah"C compus dintr-un alfabet care contine urmatoarele caractere:

  • Litere latine în ambele cazuri: a-z, A-Z(26*2=52 buc.)
  • numere: 0-9 (10 bucati.)
  • Simboluri speciale: ! , " , # , $ , % ... (32 buc.)
Dimensiunea unui astfel de alfabet este M = 52 + 10 + 32 = 94, iar complexitatea unei parole de opt (N=8) caractere este calculată prin formula M**N = 94**8.

Complexitatea parolei (sau a cheii cripto) este exprimată în așa-numitul. factor de complexitate a cifrului(factor de muncă). Cea mai comună explicație a esenței CTS sună astfel: este timpul și resurse informatice, necesar pentru a sparge o parolă folosind forța brută ( forta bruta ) tot din el opțiuni posibile. Din combinatorică știm că numărul de combinații de la M (dimensiunea alfabetului) la N (lungimea parolei) este egal cu M**N (M la puterea lui N).

Complexitatea parolei este de obicei numită rata de biți. Spune care este parola K-bit, vrem să spunem că complexitatea sa este comparabilă cu complexitatea unei parole de K zerouri și unu (un alfabet de doar două caractere: 0 și 1). De exemplu, 7_U]Ah"C -- Parolă pe 52 de biți: K = log2 (94**8) = log2 (6095689385410816) ~ 52 .

Parola xrmdCawGZ alfabet mai modest: din litere latineîn ambele registre, totalul este 26*2 = 52 simbol. Complexitatea este în mod corespunzător egală cu M**N = 52**9 = 2779905883635712și adâncimea de biți - K = log2 (2779905883635712 ) ~ 51 . În consecință, prima parolă este de aproximativ două ori mai complexă decât a doua, ceea ce în general nu reprezintă un avantaj.

Se pune întrebarea, de ce atunci avem nevoie de alfabete făcute din toate aceste citate, paranteze și alte ghilicuri? Nu este mai ușor să inventezi parole lungi folosind caractere mai familiare? Răspunsul este simplu: fără motiv. Va fi mai bine și mai de încredere să vă amintiți o expresie de acces lungă, chiar dacă nu conține semne exotice. În prezent, o frază de acces cu o adâncime de biți de 128 sau mai mare este considerată fiabilă. Adică, o frază de 20 de litere va fi suficientă.

Salutari!
În ciuda dezvoltare rapida tehnologii şi apariţie moduri alternative recunoașterea proprietarului, protecția cu parolă nu pierde teren și rămâne foarte populară până în prezent.

Parola a devenit obișnuită și este folosită pentru a accesa dispozitive și servicii de internet. Și de-a lungul timpului sunt doar mai mulți. Situația actuală duce în cele din urmă la ca utilizatorii să înceapă să folosească aceeași parolă pe dispozitivele și serviciile pe care le folosesc.
Această abordare este foarte periculoasă și amenință cu consecințe grave. Fără îndoială, parola compromisă de la rețea socială nu are aceleași consecințe ca parola pentru sistem de plata. Dar dacă sunt identice, atunci probabilitatea ca accesul la celelalte servicii utilizate este foarte mare.
Pentru a preveni acest lucru, parolele trebuie să fie complexe (rezistente la forța brută) și diferite.

Principii folosite la crearea unei parole

Majoritatea resurselor de Internet au reguli minime pentru setarea unei parole, care adesea nu sunt suficiente pentru a crea o parolă cu adevărat complexă. De asemenea, este necesar să ne amintim că:

  • Autentificarea și parola nu ar trebui să fie identice
  • Parola nu trebuie să fie compusă din Informații personale(data nașterii, număr de telefon etc.)
  • Parola nu trebuie să fie compusă numai din cuvinte

De exemplu, pentru a selecta o parolă formată din 6 cifre, trebuie să încercați doar 1 milion de combinații. Calculator modern va face față acestei sarcini în câteva minute. Din același motiv, nu ar trebui să vă bazați pe parole care constau numai din cuvinte și combinațiile acestora. Astfel de parole sunt căutate folosind dicționare de cuvinte populare.

Nu ar trebui să vă bazați pe parole care constau din cuvinte cu numere adăugate. Sunt la fel de sensibili la hacking, deși durează mult mai mult. Cu toate acestea, în cazul unui hack de succes și al pierderilor suferite în acest sens, este puțin probabil ca acest lucru să aibă vreo semnificație.
Pentru a înțelege mai bine ce parolă este puternică și care este susceptibilă la hacking, merită să vedeți exemple. Aceste numere au fost obținute folosind un serviciu de verificare a siguranței parolei.

  • Data nașterii 12071996 – 0,003 secunde
  • Nume cu majusculă Maksim și maximă minuscule – nu mai mult de jumătate de secundă
  • O combinație de litere și numere 7s3a8f1m2a – aproximativ o zi
  • Căutați următoarea combinație vSA-DFRLLz – 1 an
  • Combinația iu2374NDHSA)DD – 204 milioane de ani

Ultimele două parole demonstrează o rezistență foarte mare la hacking. Eforturile unui atacator de a sparge o parolă de complexitate similară se vor sfârși cel mai probabil în nimic.

Generarea corectă a parolei

Ne-am ocupat de partea teoretică, acum să trecem direct la generarea unei parole puternice și de încredere.
Atunci când se creează o parolă complexă și puternică, aceasta joacă un rol semnificativ. factorul uman. Dificultățile apar chiar în stadiul inițial - găsirea unei parole complexe și apoi amintirea acesteia. La urma urmei, o combinație de simboluri disparate nu predispune cu greu la memorarea rapidă.
Serviciile online ne vor ajuta cu problema generării unei parole puternice. Sunt destul de multe dintre ele, unele dintre cele populare Servicii în limba rusă poti nota:
Passwordist.com
Online-Generators.ru
PassGen.ru
Serviciile prezentate funcționează pe același principiu; trebuie doar să indicați ce caractere trebuie utilizate și să selectați lungimea parolei generate.
O caracteristică separată a serviciului Passwordist.com este capacitatea de a seta numărul parolele createși generați variante cu o mai bună lizibilitate prin eliminarea caracterelor similare, de exemplu, B și 8.

Stocarea parolei

Au fost generate parole puternice, dar asta este doar jumătate din luptă. Parolele trebuie să fie stocate corect, astfel încât nimeni altcineva să nu poată avea acces la ele.
În acest sens, opțiunile cu înregistrare în fisier text sau pe un autocolant și apoi atașarea acestuia pe monitor dispar imediat.
Este mai bine și mai corect să ai încredere informații confidențiale manager de parole.

Printre soluțiile populare se numără programul KeePass. Acest program gratuit și în același timp foarte funcțional. Printre altele, conține un generator de parole, care elimină necesitatea folosirii unui generator online.
Pentru a accesa baza de date a parolelor salvate, va trebui să setați o parolă principală. Pentru ao crea, puteți, de exemplu, să utilizați tehnica de tastare a cuvintelor într-un aspect diferit pentru a crea o parolă complexă, dar, în același timp, să nu o uitați singur.
O bază de date locală de parole de pe computerul dvs. va fi a priori mai puțin susceptibilă la hacking decât servicii publice pe Internet, deci nu este nevoie să exagerați cu complexitatea.

Se verifică puterea parolei

Dacă doriți să verificați parolele existente sau nou generate pentru rezistența la hacking, atunci există mai multe servicii online pentru aceasta:

1) Cât de sigură este parola mea? După ce introduceți parola în formularul corespunzător de pe site, veți vedea cât timp va dura să o spargeți folosind forța brută. O perioadă de câteva milioane de ani poate fi considerată excelentă.

2) Kaspersky Lab: verificare securizată a parolei Acest serviciu creat de un dezvoltator autohton al popularului soluție antivirus. De asemenea, arată timpul aproximativ necesar pentru a sparge o parolă folosind forța brută.

3) 2IP: puterea parolei Serviciul dă categoric un verdict pentru parola care este verificată - poate fi fie de încredere, fie nu.

Când vă verificați puterea parolei, nu uitați că rezultatele de putere afișate acolo sunt foarte arbitrare. Acestea sunt calculate pe baza performanței medii computer de acasăși este puțin probabil să fie similare pentru un supercomputer puternic de laborator.
Un lucru este liniștitor - este puțin probabil ca oamenii care au acces la astfel de echipamente să fie interesați de parola dvs. pentru serviciu E-mail sau mesager.

Rezumat scurt

În acest articol am încercat să acopăr toate aspectele protecție cu parolăși explicați de ce, la prima vedere, o parolă puternică nu este deloc așa.
sper ca aceasta informatie va fi de folos și vor fi luate măsuri pentru a proteja împotriva hackingului și a consecințelor aferente.