Ошибки при создании пароля

26 Сентября 2019

2 078

В избр.
Сохранено

Проблемы со слабыми паролями лежат на уровне пользователя.

Иметь слабый пароль представляет собой серьезную проблему, поскольку позволяет злоумышленникам получить доступ к сети, нашим учетным записям и, в конечном итоге, поставить под угрозу нашу конфиденциальность. Это то, о чем мы должны постоянно заботиться. Очень важно создавать ключи, отвечающие требованиям безопасности, но это не всегда так. Обычно это проблема на уровне пользователя, больше, чем другие условия, которые могут сделать пароль небезопасным.

Легко запоминающиеся ключи

Одна из человеческих ошибок пользователей — создание паролей, которые легко запомнить. Это позволяет простой вход , без необходимости запоминать сложные пароли или использовать менеджеры ключей.

Однако это худшее, что мы можем сделать. Пароль, который мы можем запомнить, не годится. В идеале это должно быть сложно запоминать, поскольку это будет означать, что мы должным образом защищаем наши данные.

Повторите тот же пароль

Это также важная ошибка повторить тот же ключ и использовать его в нескольких местах одновременно. Это еще один сбой на пользовательском уровне, который может серьезно скомпрометировать нас. Возьмем в качестве примера, что мы используем пароль в социальной сети и что мы используем его на любой странице, на которой мы зарегистрировались. В случае утечки данных на этой странице это приведет к так называемому эффекту домино и повлияет на другие сервисы и платформы.

Не используйте комбинацию символов

Еще одна проблема, которую следует учитывать, заключается в том, что многие пользователи используйте только буквы или цифры , а также сочетание того и другого в лучшем случае. Однако это делает ключ слабым, и его можно использовать грубой силой с необходимыми инструментами.

В идеале у вас должна быть комбинация всевозможных символов. В данном случае речь идет об использовании букв (верхнего и нижнего регистра), цифр, а также других специальных символов. Все это случайным образом и имеет нужную длину. В другой статье мы говорили о безопасности менеджеры паролей.

Использование очень общих ключей

Несомненно, общие ключи все еще широко используются. Речь идет о паролях типа 1234, 123456 и тому подобное. Это числа или слова, которые снова и снова повторяются в кодах доступа. На самом деле, хотя сегодня это кажется странным, они по-прежнему наиболее часто используются.

Логически это очень важная проблема и выставили бы наши счета. Мы никогда не должны использовать этот тип паролей, если мы действительно хотим защитить наших пользователей и предотвратить проникновение злоумышленников, которые могут нас скомпрометировать.

В конечном счете, это некоторые ошибки на уровне пользователя, которых следует избегать при создании пароля. Это главный барьер безопасности, который мы должны предотвратить вторжением в наши учетные записи, и очень важно, чтобы мы выбрали подходящий.

Желая защитить личные данные, все компьютерные пользователи пытаются придумать надежные и сложные пароли к своим учетным записям. Многие следуют рекомендациям специалистов, рассчитывая на то, что они-то точно знают, как скрыть от посторонних глаз конфиденциальную информацию. На днях выяснилось, что это не всегда так, и даже знающие люди могут ошибаться. В частности, Билл Бёрр ­– автор популярного руководства по созданию паролей, трудно поддающихся взлому, в интервью Wall Street Journal признался, что теория расходится с практикой, и его пособие 2003 г. выпуска было шагом в неверном направлении.

Неправильные советы Бёрра

В своем восьмистраничном документе ушедший на пенсию сотрудник Национального института стандартов и технологий США (NIST) советовал читателям менять свои пароли каждые три месяца и усложнять их, добавляя заглавные буквы, цифры и символы. Так, например, слово «protected» рекомендовалось изменять на «pr0t3cT3d4!». Сейчас автор уверен, что его указания неправильные, и на практике такая защита не поможет от взлома.

От взлома защитит абракадабра

Как выяснилось, хакеру требуется больше времени на разгадывание пароля, составленного из случайных слов. Возьмем, к примеру, «кошка сок подумать белый» – эта непонятная комбинация гораздо надежнее знаков вроде «br0k3n!», и на подбор такой абракадабры уйдут десятилетия. Поэтому современные пособия требуют обновлять защиту только тогда, когда она находится под угрозой.

Также, составляя новые правила, авторы учитывали и человеческий фактор: люди, как правило, ленятся и вносят лишь незначительные изменения, меняя по одному символу (mirror5 на mirror2), из-за чего и становятся легкой добычей для злоумышленников.

«Нам уже давно ясно, что рекомендации эти принесли больше вреда, чем пользы. Например, известно: чем чаще пользователя просят менять пароль, тем более простой вариант он выбирает. А поскольку каждый из нас сегодня зарегистрирован на множестве сайтов, ситуация усугубляется, так как велик соблазн везде использовать один и тот же пароль», — объясняет специалист в области компьютерной безопасности Алан Вудворд.

Использование менеджера паролей защитит пользователей от правонарушителей

В 2015 г. британский Центр национальной кибербезопасности опубликовал руководство по выбору защиты от взлома. В нем спецслужба советует организациям использовать у себя менеджер паролей, вместо того чтобы поощрять сотрудников к частой смене секретных слов. К слову, эти специальные программы способны надежно хранить сотни различных учетных записей.

«Очень хорошо, что советы меняются с учетом реальной практики, подтвержденной исследованиями. Однако традиционные рекомендации в области информационной безопасности по-прежнему в ходу, несмотря на их бесполезность. Государство и частные компании нуждаются в дополнительных исследованиях, способных показать, какие меры действительно способны улучшить ситуацию», – сообщает эксперт по кибербезопасности Лондонского университетского колледжа Стивен Мердок.

Специальная программа проверит ваш пароль на надежность

Отметим, что в августе 2017 г. разработчик компании Microsoft Трой Хант запустил сервис проверки почтовых адресов на взлом Have I Been Pwned (HIBP). Автор базы исследовал десятки случаев утечки и кражи паролей, собрал их всех и предоставил к ним свободный доступ.

Пользоваться данной программой очень легко: после ввода комбинации инструмент выполняет автоматический поиск ее по базе из 306 млн взломанных и уже не секретных слов и фраз. При этом Хант советует не проверять через новый сайт пароль, который активно используется, так он может оказаться под угрозой кражи.

[myexpertblock uphoto=»https://sciencepop.ru/wp-content/uploads/2017/08/Denis.jpg» uname=»Денис Сапожников» uabout=»специалист по информационной безопасности»]

Да, частично с этими новыми правилами я согласен. В первую очередь, конечно, все зависит от того, где эти пароли применяются, и как сильно развиты параноидальные мысли у конкретного индивидуума. Там, где действительно требуется защита информации, есть определенные политики безопасности, которые, в частности, требуют смены пароля пользователей системы с определенной заранее периодичностью.

На самом ли деле надежнее пароли, состоящие, как написано, из абракадабры, чем из символов, букв и цифр? Все относительно. Если говорить о том, что данные пароли сложнее взломать при помощи метода «грубой силы» (brute force), да, естественно, это так. Кстати, проверить, сколько примерно времени уйдет на взлом вашего пароля, можно и тут — howsecureismypassword.net

Также, если злоумышленник получил, узнал хэш от пароля, вероятность дешифровки пароля, созданного таким образом, ощутимо ниже. Поясню: пароли пользователей не хранятся в базах данных в открытом виде, ибо в случае утечки информации из них будут скомпрометированы все пользователи. Хэширование – это односторонняя функция, результаты выполнения которой наоборот хранятся в базе данных. Соответственно, при аутентификации от введенного пользователем пароля, проверяется эта функция: если хэш в базе данных совпадает с хэшем от введенного пароля, то пользователь успешно проходит процедуру аутентификации.

Не так давно я бы посоветовал всем, кто заботится о безопасности своих данных, воспользоваться двухфакторной аутентификацией в системах, где это возможно. То есть вы вводите пароль, после чего на заранее указанный номер вам приходит смс с одноразовым паролем для авторизации. Однако сейчас и этот механизм защиты надежным считать не приходится, т.к. уязвимость в протоколе SS7 позволяет перехватить смс-уведомление. Еще в 2014 году российские специалисты из компании Positive Technologies Дмитрий Курбатов и Сергей Пузанков на одной из конференций по информационной безопасности наглядно показали, как происходят такие атаки.

Стоит понять одну простую истину: информационной безопасности рядового пользователя или даже целой компании не существует. Существует лишь стоимость взлома и выгода от него. Т.е. до тех пор, пока стоимость взлома будет превышать вероятную выгоду от него, пользователь и владельцы компаний могут спать спокойно. В ином случае независимо от того, сложный у вас пароль или нет, проблемы у вас будут гарантированно. Вопрос лишь в том, как быстро именно ваши данные заинтересуют народных умельцев.

[/myexpertblock]

Если вы регистрировались как клиент Adobe, смените свои пароли прямо сейчас. Их уже публикуют в Интернете и даже делают на их основе кроссворды. Ну а для всех остальных это прекрасный повод посмотреть, какие пароли не надо использовать.

Недавний  взлом Adobe с кражей пользовательских данных имеет долгосрочные последствия. Сначала выяснилось, что украдено не 3 млн, а около 150 млн записей, потом — что пароли в них плохо защищены и частично восстановимы. В результате Facebook потребовал сменить пароли у тех пользователей, которые «засветились» в этой базе с тем же паролем, что у Facebook. Использовать одинаковые пароли на разных сервисах —  серьезная угроза безопасности. Но еще хуже, что миллионы пользователей допускают одни и те же детские ошибки, придумывая себе пароль. Изучим эти ошибки на примере самых популярных паролей из базы Adobe.

1.  «Password», «qwerty» и «123456»

Удивительно, но эти самые очевидные пароли продолжают удерживать первые места в хит-парадах уже многие годы. В базе Adobe пароль 123456 занимает абсолютное первое место, его выбрали почти 2 млн пользователей из 130 млн. Второе место занимает более сложный пароль 123456789, а password находится на третьем с «жалкими» 345 тыс. пользователей. У qwerty — шестое место.

2. Имя сервиса, компании и его вариации

Логин «Иван», пароль «ВКонтакте», как оригинально! Конечно, такого пароля нет в типовых словарях, но опытный хакер обязательно добавит подобные пароли в свою базу подбора при атаке (что мы и увидели в случае Adobe). По этому принципу составлены пароли 4, 9, 15 и 16 в хит-параде: adobe123, photoshop, adobe1 и macromedia.

3. Имя=Пароль и другие подсказки

Хотя пароли в базе могут быть закодированы лучше, чем у Adobe, скорее всего, хакеру будут доступны видимые без лишних ухищрений сопроводительные поля. Это имя пользователя, e-mail-адрес, поле «Подсказка для пароля» и так далее. Очень часто по ним можно восстановить пароль. Несомненным хитом является пароль, повторяющий имя пользователя, но есть и другие «умные» трюки, например написать пароль в поле «Подсказка для пароля» или указать «от 1 до 6».

4. Очевидные факты

Одним из любимых инструментов взломщиков давно стал Facebook. Зная e-mail и имя пользователя, можно при помощи Facebook за считанные минуты разгадать пароли, ненадежно припрятанные за такими подсказками к паролю: «имя собаки», «имя сына (дочери)», «дата рождения», «работа», «девичья фамилия матери»,  «любимая группа» и так далее. Около трети всех подсказок посвящены именам членов семьи и домашних животных, а 15% повторяют пароль или на него намекают.

5. Простые последовательности и повторяющиеся символы

Это только кажется, что сочетаний букв и цифр много, на самом деле люди используют их очень немногими способами. «Подсказкой» им служат алфавит и клавиатура перед носом. Так появляются  пароли abc123, 000000, 123321, asdfgh, 1q2w3e4r. Если вам попалась на глаза или пришла  в голову удобная для запоминания последовательность букв или цифр, знайте: она удобна для взлома и наверняка есть в базах (словарях) хакеров.

6. Простые слова

По разным исследованиям, от трети до половины паролей являются простыми словарными словами, входящими в top-10000. Перебрать 10 тыс. паролей для современного компьютера — дело нескольких секунд, поэтому такие пароли ненадежны. В топ базы Adobe прорвались sunshine, monkey, shadow, princess, dragon, welcome и другие. Канонические sex, god, jesus тоже никуда не делись.

7. Очевидные модификации

Чтобы усложнить работу хакерам, многие сервисы требуют от пользователя задать пароль по определенным правилам. Например, не меньше 6 символов, обязательно присутствие заглавных и строчных букв, а также цифр или символов. Как я уже писал ранее, эти меры пришли из XX века и сегодня их стоит пересмотреть, но в реальном использовании выясняется, что пользователи ужасно предсказуемы, делая требуемые ухищрения. Наиболее вероятно, что заглавной буквой сделают первую, а самая популярная численная модификация (с гигантским отрывом от прочих) — добавление цифры 1 в конце. В базе Adobe это видно по паролям 15 и 28, сочетающим очевидное слово с самой очевидной цифрой (adobe1 и password1). Самые популярные символы для модификаций — восклицательный знак и подчеркивание.

8. Очевидные модификации – 2 (1337)

Благодаря фильму «Хакеры» и другим памятникам массовой культуры широкая общественность узнала о «хакерском языке» LEET (1337), в котором часть букв заменяется на внешне похожие цифры и символы, а также делаются другие простые модификации. Так в пароли попадают на первый взгляд неплохие кандидаты H4X0R, $1NGL3 и так далее. К сожалению, на самом деле злоумышленнику подбирать их не намного сложнее очевидных HACKER и SINGLE, поскольку специализированные приложения для взлома содержат «механизм мутации», прекрасно знакомый с подобными подстановками.

9. Энергичные предложения

Вообще считается, что в современных условиях, когда пароль должен быть длинным, кодовые фразы лучше, чем пароли из одного слова. Но самые популярные фразы слишком коротки и очень, очень предсказуемы. Letmein, fuckyou и Iloveyou («впустите меня», «иди к черту» и «я тебя люблю»). Добавить нечего.

10. Транслитерация

В России и других странах с кириллическим алфавитом традиционно считается надежным парольным трюком набрать русское слово в английской раскладке. «Gfhjkm», без сомнения, выглядит очень надежно, но является простым в запоминании словом «Пароль». Хакерам тоже очень нравится этот трюк, потому что с ним легко справиться. Русские словари, «перекодированные» в английскую раскладку, давно существуют и используются при взломах. 

ВНЕ КОНКУРСА — одинаковые пароли

Если у вас везде один пароль, после подобного взлома можно лишиться всей своей онлайновой жизни!

В базе Adobe этого, конечно, не видно, но данная ошибка распространена не меньше, чем применение пароля «123456». Одинаковые пароли для разных сервисов. Чем это плохо, понятно на примере взлома Adobe. Если пароль пользователя стал известен хакерам, они могут попробовать сочетание e-mail/пароль на нескольких популярных веб-сайтах от Facebook до Gmail, компрометируя не один, а целую группу ваших аккаунтов. По данным опроса, проведенного B2B International по заказу «Лаборатории Касперского», 6% пользователей использует один пароль для всех сайтов, и еще 33% использует всего несколько паролей. Если в числе «всех сайтов» был сайт Adobe, сегодня они рискуют всей своей цифровой жизнью.

Разумеется, все перечисленные ошибки делаются по одной простой причине — сегодня нам приходится пользоваться 5–10 онлайн-сервисами, и помнить сложный, надежный пароль к каждому из них весьма проблематично. К счастью, у проблемы есть простое техническое решение. Вот наш рецепт

• Не используйте одинаковые пароли.
• Используйте длинные, сложные, надежные пароли.
• Проверяйте надежность пароля на специализированных сервисах.
• Чтобы не напрягать память, храните все пароли в специализированном менеджере паролей. Это поможет создать уникальный сложный пароль к каждому онлайн-сервису, но держать в голове придется всего один пароль.

Пароль

Мобильник
Генератор паролей
Тест пароля
Пароль ЮMoney
Единый аккаунт ID

Храним пароли

Менеджеры паролей
Менеджеры паролей онлайн

Взлом паролей

Список самых распространенных паролей
Пароль ко всем сайтам
Список стандартных паролей
Пароли WIFI аэропортов
Как взламывают пароль
Как узнать пароль своей WiFi-сети
Защита от инсайдеров

Информация

Храним информацию
Быстрое закодированное сообщение

Все пароли необходимы для ограничения доступа к вашей личной информации. То есть пароль — это инструмент, который позволяет сохранить файлы или данные в безопасности от посторонних, особенно если это касается деятельности в Интернете (к примеру, страницы в социальных сетях, электронные кошельки). Поэтому пользователям так важно придумать сложный пароль.

«Правильный» пароль должен содержать в себе набор из цифр и букв (кстати, иногда при создании пароля допускается также использование символов), которые не представлю собой никакой закономерности. То есть они не связаны с вашим именем, датой рождения, общепринятыми терминами и тому подобное. Обычно такие пароль очень устойчивы к взлому, их сложно придумать, а еще сложнее — запомнить.

Основные ошибки при создании паролей, которые не стоит допускать:

Эту таблицу можно продолжать еще очень долго, но основные аспекты думаю, вы поняли. Теперь давайте перейдем непосредственно к обсуждению нашего вопроса, а именно как придумать сложный пароль. Поскольку этот вопрос творческий, и он зависит только от вашей фантазии, то мы не можем вам приводить какие-либо примеры. Да и этими примерами могут воспользоваться злоумышленники.

Поэтому для создания сложного пароля мы обратимся к специальным сервисам — генераторам паролей. Итак, рассмотрим два лучших из них.

Учтите, что сгенерированные пароли хоть и буду сложными и надежными, в тоже время их очень и очень трудно запомнить.

Passwordsgenerator

Этот сервис доступен по адресу — passwordsgenerator.net . Язык интерфейса – английский.

Очень удобный сервис не имеющий, откровенно говоря, ничего лишнего. То есть на главной странице этого сайта вы можете сразу сгенерировать ваш пароль. Но для начала вам необходимо выбрать длину пароля (от 6 до 2048 знаков).

Затем установить флажки напротив тех пунктов, которые вам необходимы: использование знаков в пароле, букв (больших и маленьких), чисел, скобок и т. д.

После установки всех необходимых параметров нажмите кнопку «Generate secure password» и ваш пароль будет сгенерирован.

Теперь давайте проверим полученный пароль на уровень сложности. Для этого воспользуемся регистрацией в Gmail.

Как вы можете видеть на скриншоте выше – пароль, по мнению Google сложный и надежный.

Norton Identity Safe

Этот сервис доступен по адресу — identitysafe.norton.com/password-generator . Язык интерфейса – русский.

Не менее удобный сервис, нежели предыдущий. При генерации пароля вы также можете выбрать включение букв, цифр, знаков пунктуации и что самое интересное – выбрать количество одновременно генерируемых сложных паролей. То есть вы можете сделать сразу 20-30 паролей для разных аккаунтов в социальных сетях.

Давайте снова воспользуемся для проверки получившегося пароля сервисом Gmail.

И снова у нас получилось сгенерировать сложный и надежный пароль. Хотя длина этого пароля в 2 раза меньше, нежели предыдущего.

Напоследок хотелось бы сделать несколько рекомендации, касающихся паролей и работы с ними (некоторые уже упомянуты в этой статье, но все равно лучше закрепить знания):

1. Не используйте один и тот же пароль для нескольких аккаунтов;
2. Придумайте пароль, который содержит не менее 8 символов: как минимум одна цифра, одна заглавная буква, одна строчная буква и один специальный символ (скобки, подчеркивания и т.д.);
3. Не используйте в качестве пароля слова из словарей;
4. Не позволяйте своему браузеру сохранять ваши пароли;
5. Старайтесь менять пароли от важных аккаунтов хотя бы один раз в 3 месяца;
6. Не используйте в качестве пароля имена родителей, товарищей; клички животных; адресные или паспортные данные и т.д.
7. Не храните текстовые документы с паролями на облачных сервисах или флешках, которые не защищены BitLocker.

Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie