Cách tạo và ghi nhớ mật khẩu mạnh. Thuật toán mới để kiểm tra độ mạnh của mật khẩu

Hầu hết những kẻ tấn công không bận tâm đến các phương pháp đánh cắp mật khẩu phức tạp. Họ có những sự kết hợp dễ đoán. Khoảng 1% tổng số hiện có khoảnh khắc này Mật khẩu có thể được đoán trong bốn lần thử.

Sao có thể như thế được? Rất đơn giản. Bạn thử bốn kết hợp phổ biến nhất trên thế giới: mật khẩu, 123456, 12345678, qwerty. Sau khi đi qua như vậy, trung bình có 1% tổng số "quan tài" được mở ra.

Giả sử bạn là một trong 99% người dùng có mật khẩu không đơn giản như vậy. Ngay cả trong trường hợp này, cần phải tính đến năng suất của các phương tiện hiện đại. phần mềmđể hack.

John the Ripper là một chương trình miễn phí nằm ở kết nối miễn phí, cho phép bạn kiểm tra hàng triệu mật khẩu mỗi giây. Một số mẫu phần mềm thương mại chuyên dụng khẳng định có khả năng xử lý 2,8 tỷ mật khẩu mỗi giây.

Ban đầu, các chương trình hack chạy qua danh sách các kết hợp phổ biến nhất được thống kê, sau đó chuyển sang từ điển hoàn chỉnh. Xu hướng mật khẩu người dùng có thể thay đổi đôi chút theo thời gian và những thay đổi này sẽ được tính đến khi cập nhật các danh sách này.

Theo thời gian, tất cả các loại dịch vụ và ứng dụng web quyết định làm phức tạp mật khẩu một cách mạnh mẽ, do người dùng tạo. Yêu cầu đã được thêm vào, theo đó mật khẩu phải có độ dài tối thiểu nhất định, chứa số, chữ hoa và Ký hiệu đặc biệt. Một số dịch vụ coi trọng vấn đề này đến mức việc tạo ra một mật khẩu mà hệ thống chấp nhận phải mất một thời gian thực sự dài và tẻ nhạt.

Vấn đề chính là hầu hết mọi người dùng đều không tạo ra một mật khẩu thực sự có khả năng chống đoán mà chỉ cố gắng đáp ứng các yêu cầu tối thiểu của hệ thống về thành phần mật khẩu.

Kết quả là mật khẩu theo kiểu mật khẩu1, mật khẩu123, Mật khẩu, PaSsWoRd, mật khẩu! và p@ssword cực kỳ khó đoán.

Hãy tưởng tượng bạn cần thay đổi mật khẩu của người nhện. Rất có thể anh ấy sẽ trông giống $pider_Man1. Nguyên bản? Hàng nghìn người sẽ thay đổi nó bằng thuật toán tương tự hoặc rất giống nhau.

Nếu tên trộm biết những điều này Yêu cầu tối thiểu, thì tình hình chỉ trở nên tồi tệ hơn. Vì lý do này mà yêu cầu đặt ra để làm cho mật khẩu phức tạp hơn không phải lúc nào cũng cung cấp mật khẩu tốt hơn và thường tạo ra cảm giác sai lầm về việc tăng cường bảo mật.

Mật khẩu càng dễ nhớ thì càng có nhiều khả năng xuất hiện trong từ điển của các chương trình bẻ khóa. Cuối cùng hóa ra đúng là như vậy mật khẩu mạnhĐơn giản là không thể nhớ được, điều đó có nghĩa là nó cần phải ở đâu đó.

Theo các chuyên gia, ngay cả trong thời đại chúng ta công nghệ số mọi người vẫn có thể dựa vào một mảnh giấy có viết mật khẩu trên đó. Thật thuận tiện để giấu một tờ giấy như vậy khỏi đôi mắt tò mò nơi, chẳng hạn như ví hoặc ví.

Tuy nhiên, một bảng mật khẩu không giải quyết được vấn đề. Mật khẩu dài không chỉ khó nhớ mà còn khó nhập. Tình hình đang trở nên tồi tệ hơn bàn phím ảo thiêt bị di động.

Tương tác với hàng tá dịch vụ và trang web, nhiều người dùng để lại một chuỗi thông tin mật khẩu giống hệt nhau. Họ cố gắng sử dụng cùng một mật khẩu cho mọi trang web, hoàn toàn bỏ qua những rủi ro.

TRONG trong trường hợp này Một số trang web hoạt động như một bảo mẫu, buộc bạn phải làm phức tạp việc kết hợp. Kết quả là người dùng không thể hiểu được mình phải sửa đổi tiêu chuẩn của mình như thế nào. mật khẩu duy nhất cho trang web này.

Quy mô của vấn đề đã được nhận thức đầy đủ vào năm 2009. Sau đó, do lỗ hổng bảo mật, một hacker đã đánh cắp cơ sở dữ liệu thông tin đăng nhập và mật khẩu của RockYou.com, một công ty phát hành trò chơi trên Facebook. Kẻ tấn công đã đặt cơ sở dữ liệu vào truy cập mở. Tổng cộng, nó chứa 32,5 triệu bản ghi với tên người dùng và mật khẩu cho các tài khoản. Rò rỉ đã từng xảy ra trước đây, nhưng quy mô của sự kiện đặc biệt này đã cho thấy toàn bộ bức tranh.

nhất mật khẩu phổ biến trên RockYou.com sự kết hợp là 123456. Gần 291.000 người đã sử dụng nó. Đàn ông dưới 30 tuổi thường ưa thích các chủ đề tình dục và sự thô tục hơn. Những người lớn tuổi ở cả hai giới thường hướng đến khu vực văn hóa này hoặc khu vực văn hóa khác khi chọn mật khẩu. Ví dụ: Epsilon793 có vẻ không phải là một lựa chọn tồi, ngoại trừ sự kết hợp này có trong Star Trek. Bảy chữ số 8675309 đã được nhìn thấy nhiều lần vì nó xuất hiện trong một trong những bài hát của Tommy Tutone.

Trên thực tế, tạo một mật khẩu mạnh là một công việc đơn giản; tất cả những gì bạn cần làm là tạo một tổ hợp các ký tự ngẫu nhiên.

Bạn sẽ không thể tạo ra một tổ hợp toán học hoàn toàn ngẫu nhiên trong đầu, nhưng bạn không cần phải làm vậy. Hiện hữu những dịch vụ đặc biệt, tạo ra sự kết hợp thực sự ngẫu nhiên. Ví dụ: Random.org có thể tạo mật khẩu như thế này:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Đây là một giải pháp đơn giản và tinh tế, đặc biệt đối với những người sử dụng tính năng lưu trữ mật khẩu.

Thật không may, hầu hết người dùng vẫn tiếp tục sử dụng những mật khẩu đơn giản, yếu, thậm chí bỏ qua cả “ mật khẩu khác nhau cho mỗi trang web." Đối với họ, sự tiện lợi quan trọng hơn sự an toàn.

Các tình huống trong đó mật khẩu có thể gặp rủi ro có thể được chia thành 3 loại chính:

• Ngẫu nhiên, trong đó một người mà bạn biết cố gắng tìm ra mật khẩu của bạn, dựa trên thông tin về bạn mà anh ta đã biết. Thông thường, những tên trộm như vậy chỉ muốn đùa giỡn, tìm hiểu điều gì đó về bạn hoặc chơi những trò bẩn thỉu với bạn.
• tấn công hàng loạt, khi hoàn toàn bất kỳ người dùng nào của một số dịch vụ nhất định đều có thể trở thành nạn nhân. Trong trường hợp này, phần mềm chuyên dụng được sử dụng. Các trang web kém an toàn nhất được chọn để tấn công, cho phép nhập nhiều biến thể mật khẩu trong một khoảng thời gian ngắn.
• Nhắm mục tiêu, kết hợp việc nhận các mẹo gợi ý (như trường hợp đầu tiên) và sử dụng phần mềm chuyên dụng (như trong một cuộc tấn công hàng loạt). Ở đây chúng ta đang nói về việc cố gắng có được thông tin thực sự có giá trị. Chỉ một mật khẩu ngẫu nhiên đủ dài mới giúp bạn tự bảo vệ mình, việc lựa chọn mật khẩu này sẽ mất thời gian tương đương với thời lượng mật khẩu của bạn.

Như bạn có thể thấy, hoàn toàn ai cũng có thể trở thành nạn nhân. Những câu như “họ sẽ không lấy trộm mật khẩu của tôi vì không ai cần tôi” là không liên quan, vì bạn có thể bị bắt tình huống tương tự hoàn toàn ngẫu nhiên, ngẫu nhiên, không có lý do rõ ràng.

Những người có quyền truy cập vào mật khẩu nên thực hiện việc bảo vệ mật khẩu một cách nghiêm túc hơn. thông tin có giá trị, có liên quan đến hoạt động kinh doanh hoặc xung đột với ai đó vì lý do tài chính (ví dụ: phân chia tài sản khi ly hôn, cạnh tranh trong kinh doanh).

Vào năm 2009, Twitter (theo cách hiểu của toàn bộ dịch vụ) đã bị hack chỉ vì quản trị viên đã sử dụng từ hạnh phúc làm mật khẩu. Một hacker đã nhặt được nó và đăng lên trang web Digital Gangster, dẫn đến việc chiếm đoạt các tài khoản của Obama, Britney Spears, Facebook và Fox News.

Các từ viết tắt

Như trong bất kỳ khía cạnh nào khác của cuộc sống, chúng ta luôn phải thỏa hiệp giữa sự an toàn tối đa và tiện lợi tối đa. Làm thế nào để tìm ra ý nghĩa vàng? Chiến lược tạo mật khẩu nào sẽ cho phép bạn tạo các kết hợp mạnh mẽ mà bạn có thể dễ dàng ghi nhớ?

Hiện tại, sự kết hợp tốt nhất giữa độ tin cậy và sự tiện lợi là chuyển đổi một cụm từ hoặc cụm từ thành mật khẩu.

Một tập hợp các từ được chọn mà bạn luôn nhớ và mật khẩu là sự kết hợp của các chữ cái đầu tiên của mỗi từ. Ví dụ: Cầu mong sức mạnh ở bên bạn biến thành Mtfbwy.

Tuy nhiên, vì những từ viết tắt nổi tiếng nhất sẽ được sử dụng làm từ viết tắt ban đầu nên cuối cùng các chương trình sẽ nhận được những từ viết tắt này trong danh sách của chúng. Trên thực tế, một từ viết tắt chỉ chứa các chữ cái và do đó về mặt khách quan sẽ kém tin cậy hơn so với sự kết hợp ngẫu nhiên của các ký hiệu.

Nó sẽ giúp bạn thoát khỏi vấn đề đầu tiên sự lựa chọn đúng đắn cụm từ. Tại sao lại biến một biểu thức nổi tiếng thế giới thành mật khẩu viết tắt? Bạn có thể nhớ một số câu nói chỉ liên quan đến những người thân thiết của bạn. Giả sử bạn đã nghe một cụm từ rất đáng nhớ từ một nhân viên pha chế tại một cơ sở địa phương. Sử dụng nó.

Và vẫn khó có khả năng mật khẩu viết tắt mà bạn tạo sẽ là duy nhất. Vấn đề với các từ viết tắt là các cụm từ khác nhau có thể bao gồm các từ bắt đầu bằng các chữ cái giống nhau và được sắp xếp theo cùng một trình tự. Theo thống kê ở nhiều ngôn ngữ khác nhau Tần suất xuất hiện một số chữ cái nhất định ở phần mở đầu từ ngày càng tăng. Các chương trình sẽ tính đến những yếu tố này và hiệu quả của các từ viết tắt trong phiên bản gốc sẽ giảm đi.

Phương pháp đảo ngược

Giải pháp có thể là phương pháp đảo ngược thế hệ. Bạn tạo một mật khẩu hoàn toàn ngẫu nhiên trong Random.org, sau đó biến các ký tự của nó thành một cụm từ có ý nghĩa và dễ nhớ.

Thông thường các dịch vụ và trang web cung cấp cho người dùng mật khẩu tạm thời, đại diện cho những sự kết hợp hoàn toàn ngẫu nhiên đó. Bạn sẽ muốn thay đổi chúng vì bạn sẽ không thể nhớ chúng, nhưng nếu để ý kỹ hơn một chút, rõ ràng là bạn không cần phải nhớ mật khẩu. Ví dụ: hãy chọn một tùy chọn khác từ Random.org - RPM8t4ka.

Mặc dù nó có vẻ vô nghĩa nhưng bộ não của chúng ta có khả năng tìm ra những khuôn mẫu và sự tương ứng nhất định ngay cả trong tình trạng hỗn loạn như vậy. Để bắt đầu, bạn có thể nhận thấy rằng ba chữ cái đầu tiên trong đó là chữ hoa và ba chữ cái tiếp theo là chữ thường. 8 là hai lần (trong tiếng Anh là hai lần - t) 4. Nhìn một chút vào mật khẩu này, bạn chắc chắn sẽ tìm thấy mối liên hệ của riêng mình với bộ chữ và số được đề xuất.

Nếu bạn có thể ghi nhớ những chuỗi từ vô nghĩa thì hãy sử dụng nó. Hãy để mật khẩu biến thành số vòng quay mỗi phút 8 track 4 katty. Bất kỳ chuyển đổi nào mà bộ não của bạn phù hợp hơn sẽ thực hiện được.

Mật khẩu ngẫu nhiên là tiêu chuẩn vàng trong công nghệ thông tin. Theo định nghĩa, nó tốt hơn bất kỳ mật khẩu nào do con người tạo ra.

Nhược điểm của từ viết tắt là theo thời gian, sự phổ biến của kỹ thuật này sẽ làm giảm hiệu quả của nó và phương pháp đảo ngược sẽ vẫn đáng tin cậy ngay cả khi tất cả mọi người trên trái đất sử dụng nó trong một nghìn năm.

Mật khẩu ngẫu nhiên sẽ không được đưa vào danh sách các kết hợp phổ biến và kẻ tấn công sử dụng phương pháp tấn công hàng loạt sẽ chỉ tìm thấy mật khẩu đó bằng cách sử dụng vũ lực.

Hãy lấy một mật khẩu ngẫu nhiên đơn giản có tính đến chữ hoa và số - đó là 62 ký tự có thể có cho mỗi vị trí. Nếu chúng ta tạo mật khẩu chỉ có 8 chữ số, chúng ta sẽ có 62^8 = 218 nghìn tỷ tùy chọn.

Ngay cả khi số lần thử trong một khoảng thời gian nhất định là không giới hạn, phần mềm chuyên dụng mang tính thương mại nhất với công suất 2,8 tỷ mật khẩu mỗi giây sẽ mất trung bình 22 giờ để tìm ra sự kết hợp phù hợp. Để chắc chắn, chỉ thêm 1 vào mật khẩu này ký tự bổ sung- và sẽ phải mất nhiều năm mới phá được nó.

Mật khẩu ngẫu nhiên không phải là không thể bị xâm phạm vì nó có thể bị đánh cắp. Có nhiều tùy chọn, từ đọc đầu vào từ bàn phím đến máy ảnh trên vai.

Tin tặc có thể tấn công chính dịch vụ đó và lấy dữ liệu trực tiếp từ máy chủ của dịch vụ đó. Trong tình huống này, không có gì phụ thuộc vào người dùng.

Cơ sở đáng tin cậy duy nhất

Vì vậy, chúng tôi đã đi đến điểm chính. Chiến thuật nào nên sử dụng khi sử dụng mật khẩu ngẫu nhiên trong đời thực? Từ quan điểm cân bằng và thuận tiện, “triết lý một mật khẩu mạnh” sẽ phát huy tác dụng.

Nguyên tắc là bạn sử dụng cùng một cơ sở - mật khẩu siêu an toàn (các biến thể của nó) trên các dịch vụ và trang web quan trọng nhất đối với bạn.

Hãy nhớ một điều dài và sự kết hợp phức tạp mọi người đều có thể làm được

Nick Berry, Chuyên gia tư vấn vấn đề bảo mật thông tin, cho phép sử dụng nguyên tắc này, miễn là mật khẩu được bảo vệ rất tốt.

Không được phép có phần mềm độc hại trên máy tính mà bạn nhập mật khẩu. Không được phép sử dụng cùng một mật khẩu cho các trang web giải trí và ít quan trọng hơn - nhiều hơn thế là đủ đối với họ. mật khẩu đơn giản, vì việc hack tài khoản ở đây sẽ không gây ra bất kỳ hậu quả nghiêm trọng nào.

Rõ ràng là một nền tảng đáng tin cậy cần phải được sửa đổi bằng cách nào đó cho từng địa điểm. BẰNG tùy chọn đơn giản bạn có thể thêm một chữ cái vào đầu để kết thúc tên của trang web hoặc dịch vụ. Nếu chúng ta quay lại chuyện đó mật khẩu ngẫu nhiên RPM8t4ka, sau đó để ủy quyền trên Facebook, nó sẽ biến thành kRPM8t4ka.

Kẻ tấn công nhìn thấy mật khẩu như vậy sẽ không thể hiểu được mật khẩu vào tài khoản của bạn được tạo như thế nào. Vấn đề sẽ bắt đầu nếu ai đó có quyền truy cập vào hai hoặc nhiều mật khẩu được tạo theo cách này.

Câu hỏi bí mật

Một số kẻ xâm nhập hoàn toàn bỏ qua mật khẩu. Họ hành động thay mặt chủ sở hữu tài khoản và mô phỏng tình huống bạn quên mật khẩu và muốn có mật khẩu đó cho câu hỏi bảo mật. Trong trường hợp này, anh ta có thể thay đổi mật khẩu bằng cách theo ý muốn và chủ sở hữu thực sự sẽ mất quyền truy cập vào tài khoản của mình.

Năm 2008, có người đã truy cập được email của Sarah Palin, thống đốc bang Alaska và lúc đó cũng là ứng cử viên tổng thống Mỹ. Tên trộm trả lời câu hỏi bí mật nghe như thế này: “Cô gặp chồng mình ở đâu?”

Sau 4 năm, Mitt Romney, lúc đó cũng là ứng cử viên tổng thống Mỹ, đã mất một số tài khoản trên dịch vụ khác nhau. Có người trả lời câu hỏi bảo mật về tên thú cưng của Mitt Romney.

Bạn đã đoán được vấn đề rồi.

Bạn không thể sử dụng dữ liệu công khai và dễ đoán làm câu hỏi và câu trả lời bí mật.

Câu hỏi thậm chí không phải là thông tin này có thể được trích xuất một cách cẩn thận từ Internet hoặc từ các cộng sự thân cận hay không. Câu trả lời cho các câu hỏi theo kiểu “tên động vật”, “đội khúc côn cầu yêu thích”, v.v. được lựa chọn hoàn hảo từ các từ điển tương ứng của các lựa chọn phổ biến.

Là một lựa chọn tạm thời, bạn có thể sử dụng chiến thuật phản ứng vô lý. Nói một cách đơn giản, câu trả lời sẽ không liên quan gì đến câu hỏi bí mật. Tên thời con gái của mẹ? Diphenhydramin. Tên thú nuôi? 1991.

Tuy nhiên, kỹ thuật này nếu trở nên phổ biến sẽ được tính đến trong các chương trình liên quan. Những câu trả lời vô lý thường mang tính khuôn mẫu, tức là một số cụm từ sẽ xuất hiện thường xuyên hơn những cụm từ khác.

Thực tế, việc sử dụng câu trả lời thực tế không có gì sai, bạn chỉ cần lựa chọn câu hỏi một cách khôn ngoan. Nếu câu hỏi không chuẩn và câu trả lời cho nó chỉ có bạn biết và không thể đoán được sau ba lần thử, thì mọi thứ đều ổn. Lợi ích của một câu trả lời trung thực là bạn sẽ không quên nó theo thời gian.

GHIM

Mã số nhận dạng cá nhân (PIN) là loại khóa giá rẻ mà . Không ai bận tâm đến việc tạo ra một sự kết hợp đáng tin cậy hơn của ít nhất bốn chữ số này.

Bây giờ dừng lại. Ngay lập tức. Ngay bây giờ, chưa đọc đoạn tiếp theo, hãy thử đoán mã PIN phổ biến nhất. Sẵn sàng?

Nick Berry ước tính rằng 11% dân số Hoa Kỳ sử dụng tổ hợp 1234 làm mã PIN (nơi có thể tự thay đổi).

Tin tặc không chú ý đến mã PIN vì nếu không có sự hiện diện vật lý của thẻ thì mã sẽ vô dụng (điều này phần nào có thể biện minh cho độ dài ngắn của mã).

Berry lấy danh sách mật khẩu xuất hiện sau khi bị rò rỉ trên mạng, là sự kết hợp của bốn số. Rất có thể người sử dụng mật khẩu 1967 đã chọn nó là có lý do. Mã PIN phổ biến thứ hai là 1111, với 6% người dùng thích mã này. Ở vị trí thứ ba là 0000 (2%).

Giả sử rằng người biết thông tin này có trong tay thông tin của người khác. Ba lần thử trước khi thẻ bị chặn. Phép toán đơn giản cho phép bạn tính toán rằng người này có 19% cơ hội đoán được mã PIN nếu anh ta nhập theo thứ tự 1234, 1111 và 0000.

Đây có lẽ là lý do tại sao đại đa số các ngân hàng đều đặt mã PIN cho các thẻ phát hành. thẻ nhựa bản thân bạn.

Tuy nhiên, nhiều người bảo vệ điện thoại thông minh bằng mã PIN và ở đây áp dụng xếp hạng mức độ phổ biến sau: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Thông thường mã PIN đại diện cho một năm (năm sinh hoặc ngày lịch sử).

Nhiều người thích tạo mã PIN dưới dạng lặp lại các cặp số (và các cặp có chữ số thứ nhất và thứ hai khác nhau một đơn vị đặc biệt phổ biến).

Bàn phím số của thiết bị di động hiển thị các kết hợp như 2580 ở trên cùng - để gõ nó, chỉ cần chuyển thẳng từ trên xuống dưới ở giữa.

Ở Hàn Quốc, số 1004 là phụ âm với từ "thiên thần", điều này khiến sự kết hợp này khá phổ biến ở đó.

Điểm mấu chốt

1. Truy cập Random.org và tạo 5-10 mật khẩu ứng viên.
2. Chọn một mật khẩu mà bạn có thể biến thành một cụm từ dễ nhớ.
3. Sử dụng cụm từ này để ghi nhớ mật khẩu của bạn.

Bất kỳ người dùng nào cũng có các trang web yêu thích: ở đó họ giao tiếp, chơi, xem video, nghe nhạc. Một số người mua sắm trực tuyến. Tất nhiên, để thuận tiện cho người dùng, họ đăng ký trên các trang web để có quyền truy cập cá nhân tới một số dịch vụ nhất định. Một trong những điều nhất thuộc tính quan trọng bất kì tài khoản- tất nhiên đây là mật khẩu. Cách kiểm tra độ mạnh và độ phức tạp của mật khẩu - tôi sẽ kể cho các bạn trong bài viết hôm nay!

Vì vậy, trên Internet có một cái rất dịch vụ tiện lợi kiểm tra độ mạnh của mật khẩu của bạn. Đó là những gì nó được gọi .

Chú ý! Thuật toán kiểm tra độ phức tạp của mật khẩu không có nghĩa là mật khẩu của bạn bị đánh cắp!

Bất cứ điều gì bạn cần - chỉ cần nhập mật khẩu vào biểu mẫu và tìm hiểu, sau khoảng thời gian nào mật khẩu của bạn có thể được lấy lại. Ngoài ra, bên dưới bạn có thể xem các mẹo tạo mật khẩu:

• Mật khẩu phải dài vừa phải - ít nhất 8-10 ký tự
• Nên sử dụng nhiều ký hiệu, chữ cái và số trộn lẫn trong mật khẩu
• Việc sử dụng kết hợp các chữ cái và số xuất hiện liên tiếp trên bàn phím là điều không mong muốn

Ví dụ: mật khẩu quản trị viên trang web như thế này:

Tôi hy vọng rằng mật khẩu của bạn bây giờ sẽ kém an toàn hơn và không để lại cơ hội cho những kẻ tấn công! Chúc may mắn!

Tin tức tương tự:

Làm việc với đĩa

Trình phân tích mật khẩu SeaMonkey

Trình phân tích mật khẩu này được phát triển như một phần của dự án SeaMonkey, một bộ chương trình Internet miễn phí được tạo ra và duy trì bởi Hội đồng Seamonkey, một nhánh của Quỹ Mozilla. Bản thân cơ chế phân tích mật khẩu là một phần của . Thuật toán công việc của nó là tính toán trọng số của mật khẩu, dựa trên dữ liệu về các ký tự tạo nên mật khẩu. Trọng lượng mật khẩu được tính theo công thức sau:
sức mạnh= ((pwlength * 10) - 20) + (số * 10) + (ký hiệu chữ số * 15) + (trên * 10) , trong đó

• chiều dài bằng 5 nếu số ký tự trong mật khẩu lớn hơn 5 hoặc bằng độ dài của mật khẩu;
• số bằng 3 nếu số chữ số trong mật khẩu lớn hơn 3, nếu không thì bằng số chữ số;
• ký hiệu sốđược coi là bằng 3 nếu số ký tự trong mật khẩu không phải là chữ cái, số và dấu gạch dưới lớn hơn 3, nếu không - số lượng ký tự đó;
• phía trên bằng 3 nếu số chữ in hoa lớn hơn 3 hoặc số chữ in hoa nếu không.

Sau khi tính toán, trọng số mật khẩu được chuẩn hóa sao cho giá trị của nó nằm trong khoảng từ 0 đến 100. Việc chuẩn hóa được thực hiện khi giá trị trọng số không nằm trong phạm vi này. Trong trường hợp khi sức mạnh nhỏ hơn 0, giá trị sức mạnh bằng 0 và khi lớn hơn 0, giá trị trọng số được đặt thành 100. Việc xếp hạng mật khẩu theo độ mạnh tùy theo quyết định của các nhà phát triển sử dụng thư viện.
Như bạn có thể thấy, trình phân tích được mô tả không sử dụng bất kỳ kiểm tra nào bằng từ điển, điều này khiến cho các ước tính của nó có phần phiến diện và có thể kém chính xác hơn so với các chương trình của Google và Microsoft đã thảo luận ở trên.

Máy đo cường độ mật khẩu (plugin jQuery)

Một tùy chọn đánh giá mật khẩu phía máy khách khác là Máy đo cường độ mật khẩu(), một plugin được thiết kế cho Khung JavaScript jQuery.
Quy trình đánh giá hoạt động như sau. Có nhiều đặc điểm đã biết khiến mật khẩu tăng hoặc giảm khả năng đoán mật khẩu. Mỗi chất lượng đều có trọng lượng được xác định nghiêm ngặt riêng. Thuật toán bao gồm kiểm tra từng bước về sự hiện diện của những phẩm chất này trong mật khẩu và nếu chúng xuất hiện, tổng trọng lượng của mật khẩu sẽ tăng lên, dựa trên giá trị của nó, sau khi xem tất cả các đặc điểm, sẽ đưa ra kết luận được thực hiện về mức độ mạnh của mật khẩu.
Hãy xem xét thuật toán hoàn chỉnh cho quy trình đánh giá mật khẩu:

1. Trọng lượng mật khẩu được đặt thành 0.
2. Nếu độ dài mật khẩu nhỏ hơn 4 ký tự thì thuật toán kết thúc và trả về kết quả “mật khẩu quá ngắn”. Nếu không, hãy chuyển sang bước 3.
3. Chúng tôi tăng trọng lượng mật khẩu lên Ống kính 4 *, Ở đâu len- độ dài mật khẩu.
4. Một nỗ lực đang được thực hiện để nén mật khẩu bằng cách sử dụng đến thuật toán sau. Nếu mật khẩu chứa một chuỗi con như SS, Ở đâu S là một chuỗi có độ dài 1 thì phần đầu tiên của chuỗi con này bị loại bỏ và quá trình nén tiếp tục từ vị trí bắt đầu của phần thứ hai của chuỗi con này. Ví dụ: áp dụng thuật toán này cho chuỗi aaabbcab, đầu ra sẽ là chuỗi ABC. Sau khi thực hiện thao tác nén, trọng lượng mật khẩu giảm đi một lượng len - lenNén, Ở đâu len là độ dài mật khẩu và lenNén– độ dài mật khẩu sau khi nén.
5. Đang cố gắng nén mật khẩu cho các trường hợp chuỗi S dài 2, 3 và 4 ký tự. Trọng lượng mật khẩu được giảm tương tự một lượng len - lenNén. Lưu ý rằng việc nén được thực hiện mỗi lần đối với mật khẩu đang được kiểm tra chứ không phải trên các chuỗi thu được trong các lần thử trước.
6. Nếu mật khẩu có ít nhất 3 chữ số thì tăng trọng số lên 5.
7. Nếu mật khẩu có ít nhất 2 ký tự thì tăng trọng số lên 5.
8. Nếu mật khẩu có cả chữ hoa và chữ thường thì tăng trọng số mật khẩu lên 10.
9. Nếu mật khẩu chứa chữ và số thì tăng trọng số mật khẩu lên 15.
10. Nếu mật khẩu chứa ký tự và số thì tăng trọng số lên 15.
11. Nếu mật khẩu chứa các chữ cái và ký hiệu thì tăng trọng số lên 15.
12. Nếu mật khẩu chỉ bao gồm các chữ cái hoặc chỉ số thì hãy giảm trọng lượng mật khẩu xuống 10.
13. Nếu trọng số mật khẩu nhỏ hơn 0 thì đặt bằng 0. Nếu lớn hơn 100 thì đặt bằng 100.
14. Mật khẩu có trọng số nhỏ hơn 34 được coi là “yếu”. Nếu trọng số từ 34 đến 67 thì mật khẩu được phân loại là “tốt”, còn nếu lớn hơn 67 thì mật khẩu được coi là “xuất sắc”.

Máy phân tích được phân tích, giống như sản phẩm của SeaMonkey, không kiểm tra mật khẩu bằng bất kỳ từ điển nào. Ngoài ra, câu hỏi vẫn còn bỏ ngỏ về tính hợp lệ của việc chọn các giá trị nhất định của hệ số trọng số khi hình thành đánh giá mật khẩu.
Có sẵn thể hiện chức năng của plugin này.

Đại học Cornell - Trình kiểm tra độ mạnh mật khẩu

Dịch vụ trực tuyến chính thức được cung cấp bởi Trung tâm An ninh Đại học Cornell (Ithaca, Hoa Kỳ). Với sự trợ giúp của nó, người dùng có thể kiểm tra mật khẩu của mình bằng cách điền vào biểu mẫu web và gửi nó để xác minh. Đánh giá mật khẩu, như trong trường hợp dịch vụ của Google, được thực hiện ở phía máy chủ.
Việc thực hiện thuật toán không được tiết lộ cho truy cập công cộng, tuy nhiên, mô tả dịch vụ chỉ ra các yêu cầu mà mật khẩu phải đáp ứng để xác minh thành công:

1. mật khẩu phải dài ít nhất 8 ký tự;
2. Khi soạn mật khẩu, các ký tự từ ít nhất ba bảng chữ cái trong danh sách sau sẽ được sử dụng:
   • chữ cái la tinh viết hoa
   • chữ cái Latinh viết thường
   • con số
   • các ký tự đặc biệt (chẳng hạn như ! * () : |)
3. mật khẩu không được chứa các từ trong từ điển;
4. Mật khẩu không được chứa các chuỗi ký tự lặp lại (ví dụ: AAA) và các chuỗi như abc, qwerty, 123, 321.

Những yêu cầu này phải được tuân thủ nghiêm ngặt. Nếu ít nhất một số yêu cầu không được đáp ứng, mật khẩu được coi là không đáng tin cậy.
Những lời chỉ trích sau đây có thể được đưa ra đối với cách tiếp cận này. Vì vậy, mật khẩu có độ dài tùy ý, chẳng hạn như một số câu bằng ngôn ngữ tự nhiên, sẽ không đáp ứng điều kiện số 3, điều này sẽ tự động cung cấp mật khẩu có điểm thấp, mặc dù điều này có thể không hoàn toàn hợp lý.

Trình kiểm tra độ mạnh mật khẩu

Trình phân tích mật khẩu JavaScript, được phát triển và duy trì như một phần của dự án Rumkin.com.
Thuật toán đánh giá được triển khai trong máy phân tích này dựa trên các quy định chung lý thuyết thông tin. Đánh giá chính của mật khẩu là entropy của nó, được tính bằng bảng digram cho ngôn ngữ tiếng Anh.
Entropy (dung lượng thông tin) của mật khẩu là thước đo tính ngẫu nhiên của việc lựa chọn chuỗi ký hiệu tạo nên mật khẩu, được ước tính bằng phương pháp lý thuyết thông tin.
Năng lực thông tin Eđược đo bằng bit và mô tả khả năng chống đoán mật khẩu bằng phương pháp vũ lực, miễn là không có thông tin tiên nghiệm về bản chất của mật khẩu và kẻ tấn công sử dụng chiến lược vũ lực tối ưu, trong đó số lần thử trung bình dự kiến ​​​​trước khi thành công một là 2 E-1 . Theo người tạo ra bộ đánh giá này, để giảm lượng thông tin được tải về phía máy khách, tất cả các ký tự không phải chữ cái đã được kết hợp thành một nhóm. Nhóm này hoạt động như một loại ký hiệu phổ quát, được sử dụng trong bảng tần số. Như nhà phát triển lưu ý, với giả định này, giá trị của entropy thu được sẽ nhỏ hơn trong trường hợp tất cả các ký hiệu được trình bày riêng biệt trong bảng tần số.
Tùy thuộc vào giá trị entropy thu được, mật khẩu được gán đặc tính độ mạnh tương ứng của nó.

Sự hỗn loạn

Mức độ bền

Mọi người đều biết rằng mật khẩu có thể phức tạp và không quá phức tạp. Ví dụ, núi cao- Không tốt mật khẩu phức tạp và việc đặt nó làm mật khẩu gốc trên một triệu thiết bị kết nối Internet là điều không khôn ngoan. 7_U]À"C ngược lại, mật khẩu khá phức tạp. Bất kỳ người dùng Internet nâng cao nào cũng sẽ xác nhận điều này với bạn và một số thậm chí có thể giải thích lý do. Giống như, nó dài hơn và có rất nhiều ký hiệu khác nhau trong đó: ở đây bạn có cả chữ hoa và chữ cái. chữ in hoa và tất cả các loại ký tự đặc biệt. Nói chung, nó phức tạp và chắc chắn phức tạp hơn mật khẩu núi cao.

Làm thế nào bạn có thể so sánh độ phức tạp của hai mật khẩu khi sự khác biệt không quá rõ ràng? Ví dụ: mật khẩu nào khó hơn: 7_U]À"C hoặc xrmdCawGZ? Mặc dù mật khẩu thứ hai dường như bao gồm nhiều ký tự nhỏ hơn - các chữ cái viết hoa khác nhau - nhưng nó dài hơn một ký tự. Liệu điều này có đủ để bù đắp cho sự thiếu hụt của bảng chữ cái?

Bảng chữ cái là tập hợp các ký tự mà mật khẩu có thể bao gồm. Trong ví dụ của chúng tôi, mật khẩu 7_U]À"C bao gồm một bảng chữ cái chứa các ký tự sau:

• Chữ cái Latinh trong cả hai trường hợp: a-z, A-Z(26*2=52 chiếc.)
• Số: 0-9 (10 miếng.)
• Các ký hiệu đặc biệt: ! , " , # , $ , % ... (32 chiếc.)

Kích thước của một bảng chữ cái như vậy là M = 52 + 10 + 32 = 94 và độ phức tạp của mật khẩu gồm 8 (N=8) ký tự được tính theo công thức M**N = 94**8.

Độ phức tạp của mật khẩu (hoặc khóa mật mã) được thể hiện trong cái gọi là. hệ số phức tạp của mật mã(hệ số công việc). Lời giải thích phổ biến nhất về bản chất của CTS nghe như thế này: đó là thời gian và tài nguyên máy tính, cần thiết để bẻ khóa mật khẩu bằng cách sử dụng vũ lực ( lực lượng vũ phu ) tất cả của anh ấy những lựa chọn khả thi. Từ tổ hợp, chúng ta biết rằng số lượng kết hợp từ M (kích thước bảng chữ cái) đến N (độ dài mật khẩu) bằng M**N (M lũy thừa của N).

Độ phức tạp của mật khẩu thường được gọi là tốc độ bit. Nói mật khẩu là gì K-bit, ý chúng tôi là độ phức tạp của nó tương đương với độ phức tạp của mật khẩu K số 0 và số 1 (một bảng chữ cái chỉ có hai ký tự: 0 và 1). Ví dụ, 7_U]À"C -- Mật khẩu 52 bit: K = log2 (94**8) = log2 (6095689385410816) ~ 52 .

Mật khẩu xrmdCawGZ bảng chữ cái khiêm tốn hơn: từ chữ cái Latinh trong cả hai thanh ghi, tổng số là 26*2 = 52 biểu tượng. Độ phức tạp tương ứng bằng M**N = 52**9 = 2779905883635712 và độ sâu bit - K = log2 (2779905883635712 ) ~ 51 . Do đó, mật khẩu đầu tiên phức tạp gấp đôi mật khẩu thứ hai, điều này thường không phải là một lợi thế.

Câu hỏi đặt ra là tại sao chúng ta lại cần bảng chữ cái được tạo thành từ tất cả những dấu ngoặc kép, dấu ngoặc và những dòng chữ ngoằn ngoèo khác? Chẳng phải việc tạo mật khẩu dài bằng cách sử dụng các ký tự quen thuộc hơn sẽ dễ dàng hơn sao? Câu trả lời rất đơn giản: không có lý do. Sẽ tốt hơn và đáng tin cậy hơn nếu bạn nhớ một cụm mật khẩu dài, ngay cả khi nó không chứa các dấu hiệu lạ. Hiện tại, cụm mật khẩu có độ sâu bit từ 128 trở lên được coi là đáng tin cậy. Tức là một cụm từ gồm 20 chữ cái sẽ khá đủ.

Lời chào hỏi!
Cho dù phát triển nhanh chóng công nghệ và sự xuất hiện những cách thay thế nhận dạng chủ sở hữu, bảo vệ bằng mật khẩu không hề mất đi chỗ đứng và vẫn rất phổ biến cho đến ngày nay.

Mật khẩu đã trở nên phổ biến và được sử dụng để truy cập các thiết bị và dịch vụ Internet. Và theo thời gian chỉ có nhiều hơn trong số họ. Tình trạng hiện tại cuối cùng dẫn đến việc người dùng bắt đầu sử dụng cùng một mật khẩu trên các thiết bị và dịch vụ họ sử dụng.
Cách tiếp cận này rất nguy hiểm và đe dọa gây hậu quả nghiêm trọng. Không còn nghi ngờ gì nữa, mật khẩu bị lộ từ mạng xã hội không có hậu quả tương tự như mật khẩu dành cho hệ thống thanh toán. Nhưng nếu chúng giống hệt nhau thì khả năng truy cập vào các dịch vụ khác được sử dụng là rất cao.
Để ngăn điều này xảy ra, mật khẩu phải phức tạp (có khả năng chống lại sức mạnh vũ phu) và khác nhau.

Nguyên tắc sử dụng khi tạo mật khẩu

Hầu hết các tài nguyên Internet đều có các quy tắc tối thiểu để đặt mật khẩu, thường không đủ để tạo một mật khẩu thực sự phức tạp. Cũng cần phải nhớ rằng:

• Tên đăng nhập và mật khẩu không được giống nhau
• Mật khẩu không được bao gồm thông tin cá nhân(ngày sinh, số điện thoại, v.v.)
• Mật khẩu không nên chỉ bao gồm các từ

Ví dụ: để chọn mật khẩu gồm 6 chữ số, bạn chỉ cần thử 1 triệu kết hợp. Máy tính hiện đại sẽ đối phó với nhiệm vụ này trong vài phút. Vì lý do tương tự, bạn không nên dựa vào mật khẩu chỉ bao gồm các từ và sự kết hợp của chúng. Những mật khẩu như vậy được tìm kiếm bằng từ điển các từ phổ biến.

Bạn không nên dựa vào mật khẩu bao gồm các từ có thêm số. Họ cũng dễ bị hack, mặc dù phải mất nhiều thời gian hơn. Tuy nhiên, trong trường hợp vụ hack thành công và xảy ra tổn thất về mặt này, điều này khó có thể có ý nghĩa gì.
Để hiểu rõ hơn mật khẩu nào mạnh và mật khẩu nào dễ bị hack, bạn nên xem các ví dụ. Những con số này có được bằng cách sử dụng dịch vụ kiểm tra độ mạnh mật khẩu.

• Ngày sinh 12071996 – 0,003 giây
• Tên với chữ viết hoa Câu châm ngôn chữ thường và chữ thường – không quá nửa giây
• Sự kết hợp của các chữ cái và số 7s3a8f1m2a – khoảng một ngày
• Tìm kiếm sự kết hợp vSA-DFRLLz tiếp theo – 1 năm
• Tổ hợp iu2374NDHSA)DD – 204 triệu năm

Hai mật khẩu cuối cùng thể hiện khả năng chống hack rất cao. Những nỗ lực của kẻ tấn công nhằm bẻ khóa mật khẩu có độ phức tạp tương tự rất có thể sẽ không dẫn đến kết quả gì.

Tạo mật khẩu chính xác

Chúng ta đã giải quyết xong phần lý thuyết, bây giờ hãy chuyển sang phần tạo mật khẩu mạnh và đáng tin cậy.
Khi tạo một mật khẩu phức tạp và mạnh, nó đóng một vai trò quan trọng. nhân tố con người. Khó khăn nảy sinh ngay từ giai đoạn đầu - nghĩ ra một mật khẩu phức tạp và sau đó ghi nhớ nó. Rốt cuộc, sự kết hợp của các ký hiệu khác nhau khó có thể giúp bạn ghi nhớ nhanh chóng.
Các dịch vụ trực tuyến sẽ giúp chúng tôi giải quyết vấn đề tạo mật khẩu mạnh. Có khá nhiều trong số đó, một số trong đó phổ biến dịch vụ tiếng Nga bạn có thể lưu ý:
Mật khẩu.com
Online-Generators.ru
PassGen.ru
Các dịch vụ được trình bày hoạt động theo nguyên tắc giống nhau, bạn chỉ cần cho biết ký tự nào cần sử dụng và chọn độ dài của mật khẩu được tạo.
Một tính năng riêng biệt của dịch vụ Passistist.com là khả năng đặt số mật khẩu đã tạo và tạo ra các biến thể dễ đọc hơn bằng cách loại bỏ các ký tự giống nhau, ví dụ: B và 8.

Lưu trữ mật khẩu

Mật khẩu mạnh đã được tạo, nhưng đó mới chỉ là một nửa trận chiến. Mật khẩu phải được lưu trữ chính xác để không ai khác có thể truy cập được.
Về vấn đề này, các tùy chọn ghi vào tập tin văn bản hoặc trên nhãn dán rồi dán vào màn hình sẽ lập tức biến mất.
Tin tưởng thì tốt hơn và đúng đắn hơn thông tin bí mật người quản lý mật khẩu.

Trong số các giải pháp phổ biến là chương trình KeePass. Chương trình này miễn phí và đồng thời rất chức năng. Ngoài ra, nó còn chứa một trình tạo mật khẩu, giúp loại bỏ nhu cầu sử dụng trình tạo mật khẩu trực tuyến.
Để truy cập cơ sở dữ liệu mật khẩu đã lưu, bạn sẽ cần đặt mật khẩu chính. Ví dụ, để tạo nó, bạn có thể sử dụng kỹ thuật gõ từ theo bố cục khác để tạo một mật khẩu phức tạp, nhưng đồng thời đừng quên nó.
Cơ sở dữ liệu mật khẩu cục bộ trên máy tính của bạn sẽ ít bị hack hơn so với cơ sở dữ liệu mật khẩu cục bộ trên máy tính của bạn. Các dịch vụ công cộng trên Internet, do đó không cần phải làm quá phức tạp.

Kiểm tra độ mạnh của mật khẩu

Nếu bạn muốn kiểm tra khả năng chống hack của mật khẩu hiện có hoặc mật khẩu mới được tạo, thì có một số dịch vụ trực tuyến dành cho việc này:

1) Mật khẩu của tôi an toàn đến mức nào? Sau khi nhập mật khẩu của mình vào biểu mẫu thích hợp trên trang web, bạn sẽ thấy sẽ mất bao lâu để bẻ khóa nó bằng vũ lực. Khoảng thời gian vài triệu năm có thể coi là xuất sắc.

2) Kaspersky Lab: Kiểm tra mật khẩu an toàn Dịch vụ nàyđược tạo bởi một nhà phát triển trong nước của trò chơi phổ biến giải pháp chống virus. Nó cũng hiển thị thời gian gần đúng cần thiết để bẻ khóa mật khẩu bằng cách sử dụng vũ lực.

3) 2IP: Độ mạnh của mật khẩu Dịch vụ đưa ra phán quyết cụ thể cho mật khẩu đang được kiểm tra - nó có thể đáng tin cậy hoặc không.

Khi kiểm tra độ mạnh mật khẩu của bạn, đừng quên rằng kết quả độ mạnh hiển thị ở đó rất tùy tiện. Chúng được tính toán dựa trên hiệu suất trung bình máy tính ở nhà và dường như không tương tự đối với một siêu máy tính mạnh mẽ trong phòng thí nghiệm.
Có một điều đáng yên tâm - những người có quyền truy cập vào thiết bị đó dường như không quan tâm đến mật khẩu dịch vụ của bạn E-mail hoặc người đưa tin.

Bản tóm tắt ngắn gọn

Trong bài viết này tôi đã cố gắng đề cập đến tất cả các khía cạnh Mật khẩu bảo vệ và giải thích tại sao, thoạt nhìn, một mật khẩu mạnh thực tế lại không như vậy.
tôi hy vọng rằng thông tin này sẽ có ích và các biện pháp sẽ được thực hiện để bảo vệ khỏi bị hack và các hậu quả liên quan.