Thực đơn
trang chủTừ

Cách kiểm tra mật khẩu của bạn. Một thuật toán mới để kiểm tra độ mạnh của mật khẩu. Tạo một khóa phức tạp

Các bạn ơi, hôm nay chúng ta có một chủ đề rất thú vị và có ba câu hỏi thú vị không kém phía trước. Mật khẩu của tôi mạnh đến mức nào? Sẽ mất bao lâu để crack nó? Làm thế nào để tạo mật khẩu an toàn hơn hoặc ít hơn?

Những câu hỏi này được trả lời bởi dịch vụ “Mật khẩu của tôi an toàn đến mức nào?”, trong bản dịch có vẻ như sau: “Mật khẩu của tôi an toàn đến mức nào”.

Trang web chính thức: http://www.howsecureismypassword.net/

Dịch vụ này trông như thế này:

Chúng ta chỉ cần nhập mật khẩu và kiểm tra độ mạnh của nó.

Hãy thêm tổ hợp các số 12345678 vào cửa sổ chính của trang web và xem dịch vụ này “cho” chúng ta biết điều gì:

Hệ thống xuất ra kết quả như sau:

  • Mật khẩu 12345678 là một trong TOP 10 mật khẩu phổ biến nhất và có thể bị bẻ khóa ngay lập tức.
  • Không nên sử dụng mật khẩu dưới dạng ngày sinh hoặc số điện thoại.
  • Mật khẩu của chúng tôi chỉ chứa các chữ cái và số (trong trường hợp này chỉ là số). Hệ thống khuyến nghị sử dụng thêm các ký tự và dấu cách không chuẩn.

Bây giờ tôi sẽ thử nhập mật khẩu gồm 20 chữ số:

Kết quả sẽ tốt hơn:

  • Mật khẩu có hơn 16 ký tự nên mọi thứ đều ổn.
  • Mật khẩu của tôi không chuẩn vì nó chứa các ký tự không chuẩn (dấu cách).
  • Theo tính toán của hệ thống, mật khẩu của tôi sẽ bị bẻ khóa sau 1 triệu tỷ năm (đó là số 1 theo sau là 18 số 0).

Nhân tiện, nếu chúng tôi nhập các ký tự tiếng Nga, dịch vụ sẽ coi đây là một giải pháp không chuẩn.

Dịch vụ này cũng cung cấp tính năng tạo mật khẩu tự động:

Hầu hết những kẻ tấn công không bận tâm đến các phương pháp đánh cắp mật khẩu phức tạp. Họ có những sự kết hợp dễ đoán. Khoảng 1% trong số tất cả mật khẩu hiện có có thể được đoán sau bốn lần thử.

Sao có thể như thế được? Rất đơn giản. Bạn thử bốn kết hợp phổ biến nhất trên thế giới: mật khẩu, 123456, 12345678, qwerty. Sau khi đi qua như vậy, trung bình có 1% tổng số "quan tài" được mở ra.

Giả sử bạn là một trong 99% người dùng có mật khẩu không đơn giản như vậy. Ngay cả khi đó, hiệu suất của phần mềm hack hiện đại vẫn phải được tính đến.

John the Ripper là một chương trình miễn phí và được cung cấp rộng rãi, có thể kiểm tra hàng triệu mật khẩu mỗi giây. Một số mẫu phần mềm thương mại chuyên dụng khẳng định có khả năng xử lý 2,8 tỷ mật khẩu mỗi giây.

Ban đầu, các chương trình hack chạy qua danh sách các kết hợp phổ biến nhất được thống kê, sau đó chuyển sang từ điển đầy đủ. Xu hướng mật khẩu người dùng có thể thay đổi đôi chút theo thời gian và những thay đổi này sẽ được tính đến khi cập nhật các danh sách này.

Theo thời gian, tất cả các loại dịch vụ và ứng dụng web quyết định làm phức tạp thêm mật khẩu do người dùng tạo. Yêu cầu đã được bổ sung, theo đó mật khẩu phải có độ dài tối thiểu nhất định, chứa số, chữ hoa và ký tự đặc biệt. Một số dịch vụ coi trọng vấn đề này đến mức việc tạo ra một mật khẩu mà hệ thống chấp nhận sẽ mất một thời gian thực sự dài và tẻ nhạt.

Vấn đề chính là hầu hết mọi người dùng đều không tạo ra một mật khẩu thực sự có khả năng chống đoán mà chỉ cố gắng đáp ứng các yêu cầu tối thiểu của hệ thống về thành phần mật khẩu.

Kết quả là mật khẩu theo kiểu mật khẩu1, mật khẩu123, Mật khẩu, PaSsWoRd, mật khẩu! và p@ssword cực kỳ khó đoán.

Hãy tưởng tượng bạn cần thay đổi mật khẩu của người nhện. Rất có thể anh ta sẽ trông giống $pider_Man1. Nguyên bản? Hàng nghìn người sẽ thay đổi nó bằng thuật toán tương tự hoặc rất giống nhau.

Nếu kẻ tấn công biết những yêu cầu tối thiểu này thì tình hình chỉ trở nên tồi tệ hơn. Chính vì lý do này mà yêu cầu đặt ra để làm cho mật khẩu phức tạp hơn không phải lúc nào cũng cung cấp mật khẩu tốt hơn và thường tạo ra cảm giác sai lầm về việc tăng cường bảo mật.

Mật khẩu càng dễ nhớ thì càng có nhiều khả năng xuất hiện trong từ điển của các chương trình bẻ khóa. Kết quả là, hóa ra một mật khẩu thực sự mạnh đơn giản là không thể nhớ được, điều đó có nghĩa là nó cần phải ở đâu đó.

Theo các chuyên gia, ngay cả trong thời đại kỹ thuật số này, con người vẫn có thể dựa vào một tờ giấy có ghi mật khẩu trên đó. Sẽ rất thuận tiện khi cất tờ giấy như vậy ở nơi khuất khỏi những con mắt tò mò, chẳng hạn như trong ví hoặc ví.

Tuy nhiên, một bảng mật khẩu không giải quyết được vấn đề. Mật khẩu dài không chỉ khó nhớ mà còn khó nhập. Tình hình càng trở nên trầm trọng hơn bởi bàn phím ảo trên thiết bị di động.

Tương tác với hàng chục dịch vụ và trang web, nhiều người dùng để lại một chuỗi mật khẩu giống hệt nhau. Họ cố gắng sử dụng cùng một mật khẩu cho mọi trang web, hoàn toàn bỏ qua những rủi ro.

Trong trường hợp này, một số trang web hoạt động như một bảo mẫu, buộc bạn phải làm phức tạp việc kết hợp. Kết quả là, người dùng đơn giản là không thể hiểu được mình phải sửa đổi mật khẩu duy nhất tiêu chuẩn của mình cho trang web này như thế nào.

Quy mô của vấn đề đã được nhận thức đầy đủ vào năm 2009. Sau đó, do lỗ hổng bảo mật, một hacker đã đánh cắp cơ sở dữ liệu thông tin đăng nhập và mật khẩu của RockYou.com, một công ty phát hành trò chơi trên Facebook. Kẻ tấn công đã đặt cơ sở dữ liệu vào phạm vi công cộng. Tổng cộng, nó chứa 32,5 triệu bản ghi với tên người dùng và mật khẩu cho các tài khoản. Rò rỉ đã từng xảy ra trước đây, nhưng quy mô của sự kiện đặc biệt này đã cho thấy toàn bộ bức tranh.

Mật khẩu phổ biến nhất trên RockYou.com là 123456, được gần 291.000 người sử dụng. Đàn ông dưới 30 tuổi thường ưa thích các chủ đề tình dục và sự thô tục hơn. Những người lớn tuổi ở cả hai giới thường hướng đến khu vực văn hóa này hoặc khu vực văn hóa khác khi chọn mật khẩu. Ví dụ: Epsilon793 có vẻ không phải là một lựa chọn tồi, ngoại trừ sự kết hợp này có trong Star Trek. Bảy chữ số 8675309 đã được nhìn thấy nhiều lần vì nó xuất hiện trong một trong những bài hát của Tommy Tutone.

Trên thực tế, việc tạo một mật khẩu mạnh là một công việc đơn giản; tất cả những gì bạn cần làm là tạo một tổ hợp các ký tự ngẫu nhiên.

Bạn sẽ không thể tạo ra một tổ hợp toán học hoàn toàn ngẫu nhiên trong đầu, nhưng bạn không cần phải làm vậy. Có những dịch vụ đặc biệt tạo ra sự kết hợp thực sự ngẫu nhiên. Ví dụ: Random.org có thể tạo mật khẩu như thế này:

  • mvAWzbvf;
  • 83cpzBgA;
  • tn6kDB4T;
  • 2T9UPPd4;
  • BLJbsf6r.

Đây là một giải pháp đơn giản và tinh tế, đặc biệt đối với những người sử dụng tính năng lưu trữ mật khẩu.

Thật không may, hầu hết người dùng vẫn tiếp tục sử dụng những mật khẩu đơn giản, yếu, thậm chí bỏ qua quy tắc “mật khẩu khác nhau cho mỗi trang web”. Đối với họ, sự tiện lợi quan trọng hơn sự an toàn.

Các tình huống trong đó mật khẩu có thể gặp rủi ro có thể được chia thành 3 loại chính:

  • Ngẫu nhiên, trong đó một người mà bạn biết cố gắng tìm ra mật khẩu của bạn, dựa trên thông tin về bạn mà anh ta đã biết. Thông thường, những tên trộm như vậy chỉ muốn đùa giỡn, tìm hiểu điều gì đó về bạn hoặc chơi những trò bẩn thỉu với bạn.
  • tấn công hàng loạt, khi hoàn toàn bất kỳ người dùng nào của một số dịch vụ nhất định đều có thể trở thành nạn nhân. Trong trường hợp này, phần mềm chuyên dụng được sử dụng. Các trang web kém an toàn nhất được chọn để tấn công, cho phép nhập nhiều biến thể mật khẩu trong một khoảng thời gian ngắn.
  • Nhắm mục tiêu, kết hợp việc nhận các mẹo gợi ý (như trường hợp đầu tiên) và sử dụng phần mềm chuyên dụng (như trong một cuộc tấn công hàng loạt). Ở đây chúng ta đang nói về việc cố gắng có được thông tin thực sự có giá trị. Chỉ một mật khẩu ngẫu nhiên đủ dài mới giúp bạn tự bảo vệ mình, việc lựa chọn mật khẩu này sẽ mất thời gian tương đương với thời lượng mật khẩu của bạn.

Như bạn có thể thấy, hoàn toàn ai cũng có thể trở thành nạn nhân. Những câu nói như “họ sẽ không lấy trộm mật khẩu của tôi vì không ai cần tôi” là không liên quan, bởi vì bạn có thể rơi vào tình huống tương tự hoàn toàn một cách tình cờ, ngẫu nhiên mà không có bất kỳ lý do rõ ràng nào.

Những người có thông tin có giá trị, tham gia kinh doanh hoặc xung đột với ai đó vì lý do tài chính (ví dụ: phân chia tài sản khi ly hôn, cạnh tranh trong kinh doanh) nên bảo vệ mật khẩu nghiêm túc hơn nữa.

Vào năm 2009, Twitter (theo cách hiểu của toàn bộ dịch vụ) đã bị hack chỉ vì quản trị viên đã sử dụng từ hạnh phúc làm mật khẩu. Một hacker đã nhặt được và đăng lên trang web Digital Gangster, dẫn đến việc tài khoản Obama, Britney Spears, Facebook và Fox News bị chiếm đoạt.

Các từ viết tắt

Như trong bất kỳ khía cạnh nào khác của cuộc sống, chúng ta luôn phải thỏa hiệp giữa sự an toàn tối đa và sự thuận tiện tối đa. Làm thế nào để tìm ra ý nghĩa vàng? Chiến lược tạo mật khẩu nào sẽ cho phép bạn tạo các kết hợp mạnh mẽ mà bạn có thể dễ dàng ghi nhớ?

Hiện tại, sự kết hợp tốt nhất giữa độ tin cậy và sự tiện lợi là chuyển đổi một cụm từ hoặc cụm từ thành mật khẩu.

Một tập hợp các từ được chọn mà bạn luôn nhớ và mật khẩu là sự kết hợp của các chữ cái đầu tiên của mỗi từ. Ví dụ: Cầu mong sức mạnh ở bên bạn biến thành Mtfbwy.

Tuy nhiên, vì những từ viết tắt nổi tiếng nhất sẽ được sử dụng làm từ viết tắt ban đầu nên cuối cùng các chương trình sẽ nhận được những từ viết tắt này trong danh sách của chúng. Trên thực tế, một từ viết tắt chỉ chứa các chữ cái và do đó về mặt khách quan sẽ kém tin cậy hơn so với sự kết hợp ngẫu nhiên của các ký hiệu.

Việc lựa chọn cụm từ chính xác sẽ giúp bạn thoát khỏi vấn đề đầu tiên. Tại sao lại biến một biểu thức nổi tiếng thế giới thành một mật khẩu viết tắt? Bạn có thể nhớ một số câu nói chỉ liên quan đến những người thân thiết của bạn. Giả sử bạn đã nghe một cụm từ rất đáng nhớ từ một nhân viên pha chế tại một cơ sở địa phương. Sử dụng nó.

Và vẫn khó có khả năng mật khẩu viết tắt mà bạn tạo sẽ là duy nhất. Vấn đề với các từ viết tắt là các cụm từ khác nhau có thể bao gồm các từ bắt đầu bằng các chữ cái giống nhau và được sắp xếp theo cùng một trình tự. Theo thống kê, trong nhiều ngôn ngữ khác nhau, tần suất xuất hiện một số chữ cái nhất định dưới dạng khởi đầu từ ngày càng tăng. Các chương trình sẽ tính đến những yếu tố này và hiệu quả của các từ viết tắt trong phiên bản gốc sẽ giảm đi.

Phương pháp đảo ngược

Giải pháp có thể là phương pháp tạo ngược. Bạn tạo một mật khẩu hoàn toàn ngẫu nhiên trong Random.org, sau đó biến các ký tự của nó thành một cụm từ có ý nghĩa và dễ nhớ.

Thông thường các dịch vụ và trang web cung cấp cho người dùng mật khẩu tạm thời, đó là những sự kết hợp hoàn toàn ngẫu nhiên. Bạn sẽ muốn thay đổi chúng vì bạn sẽ không thể nhớ chúng, nhưng nếu để ý kỹ hơn một chút, rõ ràng là bạn không cần phải nhớ mật khẩu. Ví dụ: hãy chọn một tùy chọn khác từ Random.org - RPM8t4ka.

Mặc dù nó có vẻ vô nghĩa nhưng bộ não của chúng ta có khả năng tìm ra những khuôn mẫu và sự tương ứng nhất định ngay cả trong tình trạng hỗn loạn như vậy. Để bắt đầu, bạn có thể nhận thấy rằng ba chữ cái đầu tiên trong đó là chữ hoa và ba chữ cái tiếp theo là chữ thường. 8 là hai lần (trong tiếng Anh là hai lần - t) 4. Nhìn một chút vào mật khẩu này, bạn chắc chắn sẽ tìm thấy mối liên hệ của riêng mình với bộ chữ và số được đề xuất.

Nếu bạn có thể ghi nhớ những chuỗi từ vô nghĩa thì hãy sử dụng nó. Hãy để mật khẩu biến thành số vòng quay mỗi phút 8 track 4 katty. Bất kỳ chuyển đổi nào mà bộ não của bạn phù hợp hơn sẽ thực hiện được.

Mật khẩu ngẫu nhiên là tiêu chuẩn vàng trong công nghệ thông tin. Theo định nghĩa, nó tốt hơn bất kỳ mật khẩu nào do con người tạo ra.

Nhược điểm của từ viết tắt là theo thời gian, việc phổ biến kỹ thuật như vậy sẽ làm giảm hiệu quả của nó và phương pháp ngược lại sẽ vẫn đáng tin cậy, ngay cả khi tất cả mọi người trên trái đất sử dụng nó trong một nghìn năm.

Mật khẩu ngẫu nhiên sẽ không được đưa vào danh sách các kết hợp phổ biến và kẻ tấn công sử dụng phương pháp tấn công hàng loạt sẽ chỉ tìm thấy mật khẩu đó bằng cách sử dụng vũ lực.

Hãy lấy một mật khẩu ngẫu nhiên đơn giản có tính đến chữ hoa và số - đó là 62 ký tự có thể có cho mỗi vị trí. Nếu chúng ta tạo mật khẩu chỉ có 8 chữ số, chúng ta sẽ có 62^8 = 218 nghìn tỷ tùy chọn.

Ngay cả khi số lần thử trong một khoảng thời gian nhất định là không giới hạn, phần mềm chuyên dụng mang tính thương mại nhất với công suất 2,8 tỷ mật khẩu mỗi giây sẽ mất trung bình 22 giờ để tìm ra sự kết hợp phù hợp. Để chắc chắn, chúng tôi chỉ thêm 1 ký tự bổ sung vào mật khẩu như vậy - và sẽ mất nhiều năm để bẻ khóa nó.

Mật khẩu ngẫu nhiên không phải là không thể bị xâm phạm vì nó có thể bị đánh cắp. Có nhiều tùy chọn, từ đọc đầu vào từ bàn phím đến máy ảnh trên vai.

Tin tặc có thể tấn công chính dịch vụ đó và lấy dữ liệu trực tiếp từ máy chủ của dịch vụ đó. Trong tình huống này, không có gì phụ thuộc vào người dùng.

Cơ sở đáng tin cậy duy nhất

Vì vậy, chúng tôi đã đến điểm chính. Bạn nên sử dụng chiến thuật mật khẩu ngẫu nhiên nào trong cuộc sống thực? Từ quan điểm cân bằng và thuận tiện, “triết lý một mật khẩu mạnh” sẽ phát huy tác dụng.

Nguyên tắc là bạn sử dụng cùng một cơ sở - mật khẩu siêu an toàn (các biến thể của nó) trên các dịch vụ và trang web quan trọng nhất đối với bạn.

Bất cứ ai cũng có thể nhớ một sự kết hợp dài và phức tạp.

Nick Berry, một nhà tư vấn bảo mật thông tin, cho phép sử dụng nguyên tắc này với điều kiện mật khẩu được bảo vệ rất tốt.

Không được phép có phần mềm độc hại trên máy tính mà bạn nhập mật khẩu. Không được phép sử dụng cùng một mật khẩu cho các trang web ít quan trọng và mang tính giải trí hơn - mật khẩu đơn giản hơn sẽ đủ cho chúng, vì việc hack tài khoản ở đây sẽ không gây ra bất kỳ hậu quả nghiêm trọng nào.

Rõ ràng là một nền tảng đáng tin cậy cần phải được sửa đổi bằng cách nào đó cho từng địa điểm. Là một tùy chọn đơn giản, bạn có thể thêm một chữ cái ở đầu để kết thúc tên của trang web hoặc dịch vụ. Nếu chúng ta quay lại mật khẩu ngẫu nhiên RPM8t4ka đó thì để đăng nhập Facebook, nó sẽ chuyển thành kRPM8t4ka.

Kẻ tấn công nhìn thấy mật khẩu như vậy sẽ không thể hiểu được mật khẩu vào tài khoản của bạn được tạo như thế nào. Vấn đề sẽ bắt đầu nếu ai đó có quyền truy cập vào hai hoặc nhiều mật khẩu được tạo theo cách này.

Câu hỏi bí mật

Một số kẻ xâm nhập hoàn toàn bỏ qua mật khẩu. Họ hành động thay mặt chủ sở hữu tài khoản và mô phỏng tình huống bạn quên mật khẩu và muốn có mật khẩu đó cho câu hỏi bảo mật. Trong trường hợp này, anh ta có thể thay đổi mật khẩu theo yêu cầu của riêng mình và chủ sở hữu thực sự sẽ mất quyền truy cập vào tài khoản của anh ta.

Năm 2008, có người đã truy cập được email của Sarah Palin, thống đốc bang Alaska và lúc đó cũng là ứng cử viên tổng thống Mỹ. Tên trộm trả lời câu hỏi bí mật nghe như thế này: “Cô gặp chồng mình ở đâu?”

Sau 4 năm, Mitt Romney, lúc đó cũng là ứng cử viên Tổng thống Mỹ, đã mất một số tài khoản trên nhiều dịch vụ khác nhau. Có người trả lời câu hỏi bảo mật về tên thú cưng của Mitt Romney.

Bạn đã đoán được vấn đề rồi.

Bạn không thể sử dụng dữ liệu công khai và dễ đoán làm câu hỏi và câu trả lời bí mật.

Câu hỏi thậm chí không phải là thông tin này có thể được trích xuất một cách cẩn thận từ Internet hoặc từ các cộng sự thân cận hay không. Câu trả lời cho các câu hỏi theo kiểu “tên động vật”, “đội khúc côn cầu yêu thích”, v.v. được lựa chọn hoàn hảo từ các từ điển tương ứng của các lựa chọn phổ biến.

Là một lựa chọn tạm thời, bạn có thể sử dụng chiến thuật phản ứng vô lý. Nói một cách đơn giản, câu trả lời sẽ không liên quan gì đến câu hỏi bảo mật. Tên thời con gái của mẹ? Diphenhydramin. Tên thú nuôi? 1991.

Tuy nhiên, kỹ thuật này nếu trở nên phổ biến sẽ được tính đến trong các chương trình liên quan. Những câu trả lời vô lý thường mang tính khuôn mẫu, tức là một số cụm từ sẽ xuất hiện thường xuyên hơn những cụm từ khác.

Thực tế, việc sử dụng câu trả lời thực tế không có gì sai, bạn chỉ cần lựa chọn câu hỏi một cách khôn ngoan. Nếu câu hỏi không chuẩn và câu trả lời cho nó chỉ có bạn biết và không thể đoán được sau ba lần thử, thì mọi thứ đều ổn. Lợi ích của một câu trả lời trung thực là bạn sẽ không quên nó theo thời gian.

GHIM

Mã số cá nhân (PIN) là loại khóa giá rẻ được chúng tôi tin dùng... Không ai bận tâm đến việc tạo ra một sự kết hợp đáng tin cậy hơn của ít nhất bốn chữ số này.

Bây giờ dừng lại. Ngay lập tức. Ngay bây giờ, chưa đọc đoạn tiếp theo, hãy thử đoán mã PIN phổ biến nhất. Sẵn sàng?

Nick Berry ước tính rằng 11% dân số Hoa Kỳ sử dụng tổ hợp 1234 làm mã PIN (nơi có thể tự thay đổi).

Tin tặc không chú ý đến mã PIN vì nếu không có sự hiện diện vật lý của thẻ thì mã sẽ vô dụng (điều này phần nào có thể biện minh cho độ dài ngắn của mã).

Berry lấy danh sách mật khẩu xuất hiện sau khi bị rò rỉ trên mạng, là sự kết hợp của bốn số. Rất có thể người sử dụng mật khẩu 1967 đã chọn nó là có lý do. Mã PIN phổ biến thứ hai là 1111, với 6% người dùng thích mã này. Ở vị trí thứ ba là 0000 (2%).

Giả sử rằng người biết thông tin này có trong tay thông tin của người khác. Ba lần thử trước khi thẻ bị chặn. Phép toán đơn giản cho phép bạn tính toán rằng người này có 19% cơ hội đoán được mã PIN nếu anh ta nhập theo thứ tự 1234, 1111 và 0000.

Đây có lẽ là lý do tại sao đại đa số ngân hàng đều tự đặt mã PIN cho thẻ nhựa được phát hành.

Tuy nhiên, nhiều người bảo vệ điện thoại thông minh bằng mã PIN và ở đây áp dụng xếp hạng phổ biến sau: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Thông thường mã PIN đại diện cho một năm (năm sinh hoặc ngày lịch sử).

Nhiều người thích tạo mã PIN dưới dạng lặp lại các cặp số (và các cặp có chữ số thứ nhất và thứ hai khác nhau một đơn vị đặc biệt phổ biến).

Bàn phím số của thiết bị di động hiển thị các kết hợp như 2580 ở trên cùng - để gõ nó, chỉ cần chuyển thẳng từ trên xuống dưới ở giữa.

Ở Hàn Quốc, số 1004 là phụ âm với từ "thiên thần", điều này khiến sự kết hợp này khá phổ biến ở đó.

Điểm mấu chốt

  1. Truy cập Random.org và tạo 5-10 mật khẩu ứng viên.
  2. Chọn một mật khẩu mà bạn có thể biến thành một cụm từ dễ nhớ.
  3. Sử dụng cụm từ này để ghi nhớ mật khẩu của bạn.

Bất kỳ người dùng nào cũng có các trang web yêu thích: ở đó họ giao tiếp, chơi, xem video, nghe nhạc. Một số người mua sắm trực tuyến. Tất nhiên, để thuận tiện cho người dùng, họ đăng ký trên các trang web để có quyền truy cập cá nhân vào một số dịch vụ nhất định. Tất nhiên, một trong những thuộc tính quan trọng nhất của bất kỳ tài khoản nào là mật khẩu. Cách kiểm tra độ mạnh và độ phức tạp của mật khẩu - tôi sẽ kể cho các bạn trong bài viết hôm nay!

Vì vậy, có một dịch vụ rất tiện lợi trên Internet để kiểm tra độ mạnh mật khẩu của bạn. Đó là những gì nó được gọi .

Chú ý! Thuật toán kiểm tra độ phức tạp của mật khẩu không có nghĩa là mật khẩu của bạn bị đánh cắp!

Bất cứ điều gì bạn cần - chỉ cần nhập mật khẩu vào biểu mẫu và tìm hiểu, sau khoảng thời gian nào mật khẩu của bạn có thể được lấy lại. Ngoài ra, bên dưới bạn có thể xem các mẹo tạo mật khẩu:

  • Mật khẩu phải dài vừa phải - ít nhất 8-10 ký tự
  • Nên sử dụng nhiều ký hiệu, chữ cái, số trộn lẫn trong mật khẩu
  • Việc sử dụng kết hợp các chữ cái và số xuất hiện liên tiếp trên bàn phím là điều không mong muốn

Ví dụ: mật khẩu quản trị viên trang web như thế này:

Tôi hy vọng rằng mật khẩu của bạn bây giờ sẽ kém an toàn hơn và không để lại cơ hội cho những kẻ tấn công! Chúc may mắn!

Tin tức tương tự:

Làm việc với đĩa

Nhiều trang web cố gắng giúp người dùng đặt mật khẩu phức tạp hơn. Để làm điều này, các quy tắc cơ bản được thiết lập, thường yêu cầu chỉ định ít nhất một chữ cái viết hoa, một chữ cái viết thường, một số, v.v. Các quy tắc thường nguyên thủy như thế này:

"password" => [ "bắt buộc", "đã xác nhận", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
Thật không may, những quy tắc đơn giản như vậy có nghĩa là mật khẩu Abcd1234 sẽ được coi là tốt và có chất lượng cao, giống như Mật khẩu1. Mặt khác, mật khẩu mu-icac-of-jaz-doad sẽ không vượt qua được quá trình xác thực.

Đây là hai mật khẩu đầu tiên.

Đây là hai mật khẩu sẽ không vượt qua được kiểm tra bảo mật.

Phải làm gì? Có lẽ bạn không nên ép buộc sử dụng các ký tự đặc biệt và ngày càng đưa ra nhiều quy định mới, chẳng hạn như cấm lặp lại nhiều ký tự liên tiếp, sử dụng không phải một mà là hai hoặc ba ký tự và số đặc biệt, tăng độ dài mật khẩu tối thiểu, vân vân.

Thay vì tất cả những điều này, bạn chỉ cần làm một việc đơn giản - chỉ cần cài đặt ràng buộc entropy tối thiểu mật khẩu, thế là xong! Bạn có thể sử dụng công cụ đánh giá zxcvbn được tạo sẵn cho việc này.

Có những giải pháp khác ngoài zxcvbn. Mới tuần trước, một bài báo (pdf) của các nhà nghiên cứu bảo mật từ Symantec Research và viện nghiên cứu Eurecom của Pháp đã được trình bày tại hội nghị An ninh Máy tính và Truyền thông ACM. Họ đã phát triển một công cụ kiểm tra độ mạnh mật khẩu mới để ước tính số lượng gần đúng các lần thử dùng vũ lực cần thiết bằng phương pháp Monte Carlo. Phương pháp được đề xuất khác biệt ở chỗ nó yêu cầu lượng tài nguyên tính toán tối thiểu trên máy chủ, phù hợp với số lượng lớn mô hình xác suất, đồng thời khá chính xác. Phương pháp này đã được thử nghiệm trên các mật khẩu từ cơ sở dữ liệu gồm 10 triệu mật khẩu Xato thuộc phạm vi công cộng (bản sao trên Archive.org) - phương pháp này cho kết quả tốt. Đúng, nghiên cứu này của Symantec Research và Eurecom ít nhất có tính chất lý thuyết, họ không công bố chương trình của mình dưới bất kỳ hình thức nào được chấp nhận. Tuy nhiên, mục đích của công việc này rất rõ ràng: thay vì các quy tắc heuristic để kiểm tra mật khẩu, các trang web nên triển khai kiểm tra entropy.

Nhiều trang web cố gắng giúp người dùng đặt mật khẩu phức tạp hơn. Để làm điều này, các quy tắc cơ bản được thiết lập, thường yêu cầu chỉ định ít nhất một chữ cái viết hoa, một chữ cái viết thường, một số, v.v. Các quy tắc thường nguyên thủy như thế này:

"password" => [ "bắt buộc", "đã xác nhận", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
Thật không may, những quy tắc đơn giản như vậy có nghĩa là mật khẩu Abcd1234 sẽ được coi là tốt và có chất lượng cao, giống như Mật khẩu1. Mặt khác, mật khẩu mu-icac-of-jaz-doad sẽ không vượt qua được quá trình xác thực.

Đây là hai mật khẩu đầu tiên.

Đây là hai mật khẩu sẽ không vượt qua được kiểm tra bảo mật.

Phải làm gì? Có lẽ bạn không nên ép buộc sử dụng các ký tự đặc biệt và ngày càng đưa ra nhiều quy định mới, chẳng hạn như cấm lặp lại nhiều ký tự liên tiếp, sử dụng không phải một mà là hai hoặc ba ký tự và số đặc biệt, tăng độ dài mật khẩu tối thiểu, vân vân.

Thay vì tất cả những điều này, bạn chỉ cần làm một việc đơn giản - chỉ cần cài đặt ràng buộc entropy tối thiểu mật khẩu, thế là xong! Bạn có thể sử dụng công cụ đánh giá zxcvbn được tạo sẵn cho việc này.

Có những giải pháp khác ngoài zxcvbn. Mới tuần trước, một bài báo (pdf) của các nhà nghiên cứu bảo mật từ Symantec Research và viện nghiên cứu Eurecom của Pháp đã được trình bày tại hội nghị An ninh Máy tính và Truyền thông ACM. Họ đã phát triển một công cụ kiểm tra độ mạnh mật khẩu mới để ước tính số lượng gần đúng các lần thử dùng vũ lực cần thiết bằng phương pháp Monte Carlo. Phương pháp được đề xuất khác biệt ở chỗ nó yêu cầu lượng tài nguyên tính toán tối thiểu trên máy chủ, phù hợp với số lượng lớn mô hình xác suất, đồng thời khá chính xác. Phương pháp này đã được thử nghiệm trên các mật khẩu từ cơ sở dữ liệu gồm 10 triệu mật khẩu Xato thuộc phạm vi công cộng (bản sao trên Archive.org) - phương pháp này cho kết quả tốt. Đúng, nghiên cứu này của Symantec Research và Eurecom ít nhất có tính chất lý thuyết, họ không công bố chương trình của mình dưới bất kỳ hình thức nào được chấp nhận. Tuy nhiên, mục đích của công việc này rất rõ ràng: thay vì các quy tắc heuristic để kiểm tra mật khẩu, các trang web nên triển khai kiểm tra entropy.