Криптостойкость пароля: Правила создания криптостойкого пароля
Правила создания криптостойкого пароля
Пароль — это важный элемент защиты ваших электронных счетов, почты, компьютера, персональных данных. Будьте внимательны при создании пароля!
При создании пароля нельзя использовать
- Персональные данные, которые о Вас легко узнать;
- Слова «пароль», «pass», «password»;
- Только цифры, например 12344321;
- Только буквы, к примеру «qwerty», «abcdef», «йцукен»;
- Обратный порядок букв в словах, например «noklab»;
При создании пароля нужно использовать
- Буквы как в верхнем, так и в нижнем регистре;
- Буквы и цифры;
- Буквы, цифры и спецсимволы (№,<,?,@)
А теперь вспомните свой пароль. Если он соответствует пункту № 2, то он уже относится к категории сложных. Если ваш пароль соответствует пункту № 3, то он очень сложный и его практически невозможно подобрать. Поздравляем, вы в безопасности! В случае, если у Вас пароль как в пункте № 1 — советуем изменить его!
Как придумать криптостойкий пароль
- Используйте любое русское слово, набранное в английской раскладке, заменяя некоторые буквы цифрами (о на 0, ч на 4), например ч-е-л-о-в-е-к = 4tk0dtr
- Не смотря на клавиатуру понажимайте на клавиатуру в произвольном порядке, время от времени зажимая Shift. Посмотрите на набранный при этом текст и запомните то, что получилось, например: fQ6Ssd9#Lc
- Вспомните поговорку, «крылатую фразу» или цитату, к примеру «Терпение и труд все перетрут», соедините первые буквы слов или слоги, например T-i-t-r-v-s-p-r-t-r = T1iTr#Vsp8rtr
Советы по безопасности ваших паролей
- Не используйте один и тот же пароль на всех сайтах;
- Не храните пароли в легкодоступных местах;
- Не храните пароли в файле на компьютере;
- Меняйте пароль несколько раз в год.
Выполнение всех вышеперечисленных правил поможет вам создать надежный пароль и быть всегда в безопасности.
Как создать надёжные пароли и защищать систему с их помощью | GeekBrains
https://d2xzmw6cctk25h.cloudfront.net/post/2203/og_image/ee8bab2ede2ab7ef6006ee7d8ee31e70.png
Мы часто слышим разные страшилки о том, что пароль надо чаще менять, не использовать стандартные логины и пароли, не использовать одинаковые пароли для разных нужд и т.п. Кто-то трепетно следует всем рекомендациям, кто-то использует один дефолтный пароль на всё… в общем, рекомендации о безопасности все воспринимают по-разному. В этом посте мы решили подойти к вопросу обстоятельно и без лишних эмоций рассказать о влиянии пароля на безопасность и о том, какие пассворды можно считать хорошими.
Как используется пароль в ходе идентификации и аутентификации
Для начала определимся с понятиями.
Под идентификацией, согласно Википедии, понимается процедура, в результате которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе. Таким образом, субъект — это тот, кто проходит идентификацию в системе.
Во время идентификации субъект предъявляет свой идентификатор, а система проверяет, есть ли такой идентификатор в системе. Если идентификатор в системе есть, субъект проходит идентификацию. Далее следует аутентификация — проверка того, принадлежит ли субъекту доступа предъявленный им идентификатор.
Ближайшим аналогом такой процедуры является предъявление пропуска на входе в вуз. В этом случае пропуск (а если точнее, данные, указанные в пропуске) выступает в роли идентификатора. Не предъявишь пропуск — не пройдёшь идентификацию и тебя не пустят на территорию вуза. При этом у устройства (или охранника), которое проверяет пропуск, есть некая условная база идентификаторов. Когда субъект предъявляет свой идентификатор то система проверяет, есть ли такой идентификатор в базе. А иногда и то, для какого субъекта он задан. Если ответ на этот вопрос является положительным (идентификатор есть в базе), то устройство пропускает субъекта, если нет — то не пропускает.
В рамках этой статьи мы не будем подробно разбирать вопросы, связанные с идентификацией, аутентификацией и авторизацией. Скажу лишь что проводимая проверка подлинности может быть односторонней или взаимной – клиент также может проверить сервер как сервер клиента. Кроме того, согласно ГОСТ Р ИСО/МЭК 27000-2012 аутентификация – это в первую очередь обеспечение гарантии того, что заявленные характеристики объекта являются подлинными. А подлинность — свойство, указывающее, что объект представляет собой то, что он заявляет о себе.
Типичным идентификатором, как правило, является пароль. При этом считается, что пароль может знать только определённый субъект и отсюда растут ноги у всех проблем парольной защиты – пароль можно перехватить, подобрать, пароль может совпадать с именем пользователя, пароль может быть простым и т.п.
Поэтому рассмотрим некоторые требования безопасности, применяемые к паролям и средствам парольной защиты.
Требования к безопасности пароля и энтропия
Даже такой требовательный стандарт безопасности как PCI DSS (стандарт безопасности данных индустрии платёжных карт) предъявляет к пассворду всего два требования:
- Наличие в пароле и цифр, и букв.
- Длина — не менее семи символов.
Зато к системе использования пароля требования значительно больше, например:
- Менять пароли и (или) парольные фразы пользователей, как минимум, один раз в 90 дней.
- Не использовать групповые, общие и стандартные учётные записи и пароли.
В Windows, в групповых политиках паролей можно включить соответствие паролей требованиям сложности:
Если поставить галочку, система будет проверять, что ваши пароли:
- Не содержат имени учётной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
- Имеют длину не менее 6 знаков.
- Содержать знаки трёх из четырёх категорий (т.н. «алфавит» пароля): латинские заглавные буквы (от A до Z), латинские строчные буквы (от a до z), цифры (от 0 до 9) и отличающиеся от букв и цифр знаки (например !, $, #, %)
- Требования сложности применяются при создании или изменении пароля.
Все остальные требования применяются к процедурам, которые будут обрабатывать пароль, например к сроку хранения пароля.
Атаки полного перебора
Почему требования именно такие? Причина в том, что они важны при оценке устойчивости пароля к атакам полного перебора.L – общее число возможных комбинаций пароля
Соответственно, возможно рассчитать ту длину пароля, которая будет при определённом значении энтропии:
Рассмотрим это на примере. Допустим, мы используем в качестве пароля слово «admin». Возможный алфавит для такого пароля состоит только из букв нижнего регистра, которых в алфавите 26. Длина самого пароля составляет 5 символов, поэтому энтропия для такого пароля будет составлять:
Таким образом, энтропия пароля «admin» составляет примерно 24 бит. А число возможных комбинаций для пароля длиной 5 символов из алфавита длиной 26 символов, как мы уже подсчитали, равно 11881376.
Тут надо понимать, что злоумышленнику не нужно подбирать все 11881376 вариантов. Пароль может подойти уже на второй, третьей попытке или не подойти вовсе (если начать перебор с середины возможных комбинаций). Именно поэтому для оценки сложности паролей оперируют понятием энтропии.
Энтропия при этом анализируется следующим образом: чтобы методом полного перебора найти пароль с энтропией в 24 бита, необходимо создать 2^24 паролей и попытаться использовать их при брутфорсе — один из 2^24 паролей окажется правильным.
Теперь рассмотрим обратный пример. Какая длина пароля обеспечит нам энтропию в 24 бит при использовании символов английского алфавита в нижнем регистре (длина алфавита – 26 символов)?
Если бы всё зависело только от энтропии… но при работе с паролями приходится учитывать ещё целый ряд дополнительных факторов.
Другие типы атак
Во-первых, пароль можно подобрать по словарю. В этом случае нельзя оперировать понятием энтропии пароля как мерой безопасности — не будет использован брутфорс отдельных символов. К примеру, есть пароль «password@123». Энтропия такого пароля будет довольно-таки большой (72.5 бита). Однако такой пароль довольно часто используется и поэтому периодически попадает в базы слитых паролей — 4263 раза.
Во-вторых, нельзя заранее сказать, какой алфавит использовался для создания пароля, что затрудняет использование энтропии для оценки устойчивости пароля к брутфорсу. Например, в качестве алфавита для пароля «password» вполне можно использовать набор символов ASCII, что существенно поднимает энтропию пароля. Кроме того, при увеличении длины пароля растёт и его энтропия, например, энтропия пароля «-B:Sr%7w» составляет 52.4 бита а пароля «dLgIRSpti» — 51.3 бита. Из этого следует, что хоть первый пароль примерно в два раза сложнее второго, второй проще запомнить, хотя для него использовался более простой алфавит.
В-третьих, в качестве источника для энтропии должен использоваться надежный генератор случайных чисел. Можете почитать довольно полный обзор того, что используется в качестве источника для энтропии.
Учитывая эти факторы, злоумышленник обычно пытается найти слабости в алгоритме идентификации и аутентификации, а не в пароле. Навскидку:
- Пароль может быть достаточно сложным с точки зрения энтропии, но встречаться в словаре. Таких словарей даже в открытом доступе существует довольно много. Кроме того, можно проверить пароль на сайте Haveibeenpwned.com — встречался ли он в утечках данных.
- Сам механизм идентификации (и аутентификации — если смотреть шире) может быть построен таким образом, что будет иметь слабости в реализации. Типичный пример — отсутствие блокировки субъекта если он более нескольких раз ввел пароль.
- Слабости криптографического алгоритма генерации ключей (или случайных чисел, лежащих в основе ключей). Пример — атаки на протокол WPS, слабость аппаратной реализации алгоритма шифрования, уязвимости понижающие криптостойкость алгоритма шифрования (хэширования) и т. п.
- Отсутствие «соли» (дополнительной случайной строки) при хранении пароля — хэш соответствует паролю. На Internet-technologies.ru есть гайд по этой теме.
По этим причинам большинство технологий идентификации и аутентификации зависят не только от параметров паролей, но и от организации самого процесса. К примеру, вот некоторые требования из стандарта PCI DSS 3.2, которые относятся к безопасности процедур, затрагиваемых паролями:
- Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем.
- Удалять все учётные записи разработчиков, тестовые учётные записи и/или учётные записи заказного приложения, идентификаторы пользователей и пароли перед передачей ПО заказчикам или переводом его в производственный режим.
- Управлять уязвимостями, в частности убрать уязвимость «Некорректная обработка ошибок».
Кроме того, в этом же стандарте есть такие требования: «Идентифицировать и аутентифицировать доступ к системным компонентам». В них в частности входят:
- Блокировать идентификатор пользователя не более чем после шести неудачных попыток входа подряд.
- Менять пароли и/или парольные фразы пользователей как минимум один раз в 90 дней.
- Запретить пользователю менять пароль и/или парольную фразу на какие-либо из четырёх последних паролей и/или парольных фраз данного пользователя, использованных им ранее.
- Не использовать групповые, общие и стандартные учётные записи и пароли, а также прочие подобные методы аутентификации.
Настройка защиты паролей в ОС
Большинство из приведённых механизмов можно настроить на уровне ОС. Например, в Windows можно воспользоваться настройкой групповых политик (оснастка gpedit.msc для локального ПК или gpmc.msc для настройки групповых политик домена). Нажмите в ОС «Выполнить» и введите «gpedit.msc». Далее можно открыть редактор групповых политик:
В целом для усиления безопасности достаточно соблюдать ряд простых настроек.
Требования сложности пароля. Настройка реализуется по-разному, в ОС Windows всё достаточно понятно.
Обязательная регулярная смена пароля. Тут важно оценить, как часто необходимо менять пароль. Я рекомендую делать это чаще, чем можно подбирать пароль средствами брутфорса. В зависимости от алфавита такой срок может быть разным. В среднем это раз в три месяца для паролей, удовлетворяющих требованиям сложности в ОС Windows.
Ограничение числа ошибочных попыток ввода паролей. По достижению выбранного числа учётная запись блокируется. Это полезно для защиты от брутфорса. На скриншоте ниже такая политика не настроена, но вы видите, где это можно сделать:
Запрет использования ранее заданных паролей. Эта функция доступна в некоторых ОС, в частности в Windows. Для этого надо активировать соответствующую настройку:
Запрет использования одинаковых паролей для разных сервисов. Типичной является ситуация, при которой один и тот же пароль используется для разных сервисов. Это несёт серьёзную угрозу безопасности данных. Такое требование желательно вводить на уровне политики безопасности предприятия.
Как создать безопасный пароль
Большинство требований безопасности относится, скорее, к процедурам идентификации и аутентификации, однако по отношению к парольной защите можно выделить следующие:
- Проверяйте пароли на сложность с учётом энтропии. У хорошего пароля энтропия должна быть не меньше 80 бит, а лучше больше. Для оценки эффективности энтропии можно использовать сайт Passwordstrengthcalculator.com или сервис Ae7.s, где пароль можно также сгенерировать.
- Старайтесь соблюсти баланс между сложностью запоминания пароля, его длиной, алфавитом и энтропией.
- Можно проверить пароли на утечку — не встречался ли пароль в БД, которые были использованы для взлома. Это можно сделать при помощи сервиса Haveibeenpwned.com
- Если вы планируете разработку веб-сервиса и в этом сервисе предусматривается идентификация по паролю, то можно использовать возможности библиотеки zxcvbn. Эта довольно полезная библиотека позволяет оценить «безопасность» задаваемых паролей. Однако не стоит использовать особенности работы подобных утилит как критерий абсолютной истины. Доступна демоверсия.
Основа безопасности — это всегда хорошая политика. Требования к такой политике бывают разные, но почти всегда они где-нибудь описаны. Типичный пример — стандарт PCI DSS. Такие стандарты можно использовать как критерии для настройки конкретных параметров — например в ОС Windows. Примерный сценарий (с поправкой на возраст статьи :)) рассмотрен на сайте стандарта.
Хотите узнать больше о безопасности информационных систем? А может даже найти работу в этой сфере? Тогда приглашаем вас на факультет информационной безопасности GeekUniversity!
Пароли и стойкость — CryptoFaq.ru
Пароли, которые мы выбираем.
В современном информационном обществе каждый человек хоть раз сталкивался с понятием пароль. У некоторых их десятки, а кто-то слышал про пароли из фильмов о шпионах. Попробуем разобраться в значении данного понятия.
Само слово пароль, скорее всего, произошло от французского слова parole, которое означает “слово, речь”. Словарь Даля определят слово пароль как военное слово, передаваемое при вечерней заре на сутки часовым, для оклика и допроса проходящих за черту, пропускаются лишь знающие пароль.
С тех пор фактическое определение слова пароль не изменилось и основным его значением является простейшее средство аутентификации. Пароль является тем секретом, обладание (знание) которого зачастую определяет верность аутентификации перед кем-либо.
На сегодняшний день более-менее активный пользователь информационных ресурсов должен заботиться о хранении или запоминании десятка паролей. Начиная от пинов к телефонам и кредитным картам и заканчивая паролям к банковским сейфам и рабочими архивами с документами.
Для пользователей различных ресурсов вопрос выбора паролей зависит от политики безопасности и требований к паролю этого самого ресурса. Примером являются пины к SIM-картам, которые имеют определенную структуру в виде 4-х цифровых символов. Администраторы некоторых ресурсов самостоятельно генерируют пароли и навязывают их пользователю. Такое решение имеет как плюсы, поскольку оно гарантирует качество выработанного пароля, однако есть и минусы. Прежде всего, это сложность запоминания навязанного пароля для пользователя и, как следствие, опасность того, что пользователь напишет этот сложный пароль в легко доступном месте и, тем самым, сведет на нет все достоинство сложного и качественного пароля. Вторым минусом является недоверие пользователя программе выработки пароля или тому, что данный пароль может быть известен администраторам самого ресурса, поскольку именно они контролируют программу выработки пароля.
Вторым возможным решением для администрации является предоставление свободы выбора пароля пользователям в рамках некоторых требований к размеру и виду пароля. В этом случае пользователь вынужден самостоятельно вырабатывать пароль. Приведем ряд правил, соблюдение которых позволит повысить безопасность ваших паролей.
Не используйте одинаковые пароли для различных ресурсов. Данное решение, конечно, существенно упрощает задачу запоминания пароля, однако в случае компрометации этого пароля под удар могут попасть все ваши данные на защищенных ресурсах. К сожалению, подобная схема выработки пароля очень распространена среди пользователей, которые вынуждены регистрироваться на большом количестве самых разнообразных сайтов. При этом, существует большой риск столкнуться с нечестными владельцами тех или иных ресурсов, которые могут использовать введенный вами пароль в корыстных целях.
Не используйте распространенные последовательности в качестве паролей, например “123456” или “qwerty”. Так же рекомендуется, чтобы ваш пароль не являлся словом русского или любого другого распространенного языка.
Не используйте персональную информацию в качестве элементов пароля. Дни рождения, номера и модели машин и прочая подобная информация может быть легко получена людьми, которые знают вас.
Популярным средством повышения стойкости пароля является использованием написание русских слов в латинской раскладке клавиатуры. Следует понимать, что данная мера крайне слабо повышает защищенность пароля, т.к. злоумышленники прекрасно знают о таком способе.
Мы привели признаки плохих паролей, однако открытым остался вопрос о выборе качественного пароля. Если у пользователя стоит задача получить пароль, который ему необходимо постоянно помнить, то можно применить, следующий способ. Использовать в качестве шаблона некоторую популярную, а главное хорошо известную для себя фразу, типа «Красная армия всех сильней». Далее разработать и запомнить правила выбора букв из этой фразы, например: “все четные”. В результате получается пароль «рсаамясхиье», при необходимости можно перевести пароль в латинские символы, используя латинскую раскладку клавиатуры. Данный способ позволит существенно повысит стойкость пароля к возможному подбору по словарю. Более подробна о методах взлома и перебора паролей будет сказано ниже.
Следующим способом получения качественного пароля является использование специальных генераторов. Данные генераторы можно легко написать самому на любом языке программирования, а можно воспользоваться готовыми (например, http://exogens.ru/produkty/generator-parolej/ ). Далее основная задача пользователя запомнить этот пароль, поскольку он будет выглядеть например так: “Ka7hw6W2”. Тут можно посоветовать только одно решение — использовать защищенное хранилище паролей. В этом случае вам необходимо помнить только один главный пароль к хранилищу. Существует множество подобных программ как платных, так и бесплатных. Например, SecureWallet, ну или 1Password, если вы любитель mac os. Есть варианты под смартфоны и КПК, так что соответствующую программу вы найдете легко. Существует еще онлайновый сервис по хранению паролей. C одной стороны это очень удобно, с другой стороны встает большой вопрос о доверии этому сервису.
Все переборы да переборы…
Для того, чтобы научиться выбирать качественный пароль необходимо хорошо знать основные методы взлома парольной защиты.
Рассмотрим вопрос перебора паролей, т.к. именно данный метод является самым распространенным методом получения чужого пароля . Прежде всего для организации перебора нужно определить функцию проверки верности пароля. В некоторых случаях взломщику доступен хэш-код от пароля и злоумышленник способен осуществлять перебор на своих вычислительных мощностях, а иногда есть возможность проверять пароль только непосредственно на самом ресурсе.
Хранение паролей в виде хэш-кодов является одним из самых распространенных методов хранения паролей в различных ОС и программах. Более подробно о хранении паролей будет сказано ниже. Если злоумышленник знает, какая хэш-функция использовалась, то это существенно упрощает задачу. Перебор можно осуществлять полный, т.е. использовать все доступные последовательности символов, а можно по словарю.6)/1000000/3600 = 5 часов. А пароль из 10 символов уже за 458 лет. Следовательно, достаточно стойкими к подобному перебору паролями можно считаться пароли с длинной более 8 символов.
Перебор по словарю занимает существенно меньше времени, однако, при этом, нет гарантий, что пароль будет найден. В то же время статистика сети Интернет показывает, что пользователи разных стран очень часто выбирают очень слабые, а главное одинаковые пароли. В этом случае злоумышленнику нужен создать качественный словарь возможных пароле. Обычно помимо самых распространенных паролей подобные словари содержать просто слова на разных языках мира, включая варианты использования различных раскладок клавиатуры. В Интернете существует огромное количество подобных словарей. Например, на сайте http://www.passwords.ru/dic.php представлены словари как русских так и английских слов, есть словари русских слов набранные в латинской раскладке.
Что касается собственно программ для перебора паролей, то и здесь можно воспользоваться готовыми решениями. Существуют онлайн службы для перебора хэшированных паролей, например http://www.md5hood.com или http://passcracking.ru/. Данные сервисы позволяет подобрать слова, если в качестве функции хэширования использовалась функция MD5. Последний сайт является русским аналогом проекта RainbowCrack о котором нужно сказать отдельно.
Поиск с использованием радужных таблиц (rainbow tables) является промежуточным вариантом между поиском по словарю и полному перебору. Данный метод основан на классическом для криптографии принципе компромисса между временем и данными (time-memmory trade-off). Согласно данному принципу существует возможность уменьшать трудоемкость выполнения некоторого алгоритма, увеличивая объем памяти, занятой под предварительные вычисления и наоборот. Следуя данному принципу, есть возможность существенно уменьшить время перебора хэшированных паролей путем построения радужных таблиц. Данные таблицы строятся с помощью цепочек последовательного применения хэш-функции. При этом в таблицу записывается только первое и последние значения. Таблицы сортируются, и, далее, с помощью бинарного поиска и некоторых дополнительных действий осуществляется поиск принадлежности искомого хэш-кода к той или иной цепочки. Проект http://project-rainbowcrack.com/ содержит большое число подобных таблиц для основных функций хэширования.
Заметим, что если пароли храняться в хэшированном виде с использованием соли(salt) — некоторого случайного вектора, то использование предварительно вычисленных словарей и радужных таблиц невозможно.
Рассмотри вопрос хранения паролей в основных программах и операционных системах (ОС). Начнем с unix-подобных ОС (Solaris, BSD, Linux).
В данных ОС используется хэширование паролей с применение случайного вектора — соли. Обычно данные учетных записей хранятся в двух файлах: /etc/passwd и /etc/shadow. Файл passwd содержит имя пользователя, его числовой идентификатор (User ID, UID) и домашнюю директорию, но (вопреки названию) пароля в нем нет. Пароль записан в файле /etc/shadow. Для BSD систем используется немного другой принцип (используется /etc/spwd.db и /etc/master.passwd), но в целом отличия не существенны. В зависимости от unix-системы в качестве хэш-функции в основном используются:
функция crypt() — самый старый вариант функции хэшироания, основанной на алгоритме DES;
функция MD5() — наиболее популярное решение для хранения паролей;
* функция Blowfish() (точнее, хэш-функция, построенная на основе алгоритма Blowfish), генерирующий 60-символьный хэш.
С учетом последних работ по анализу функции хэширования MD5 современные дистрибутивы ОС реже используют функцию МD5, отдавая предпочтение функции Blowfish или SHA-2.
Как мы уже говорили, соль — случайный вектор, который генерируется для каждого пользователя, присоединяется к паролю и хэшируется вмести с ним. Соль хранится вместе с хэш-кодом пароля в открытом виде. Если в качестве функции хэширования используется MD5, то файл /etc/shadow будет содержать примерно следующие записи:
$1$Ue1yZO5i$.6G/4l1AYliPdkTh2AkBi/
Здесь восемь символов после $1$ — соль, а 22 символа после последнего “$”— хэш-код.
Что касается собственно пароля, то unix-подобные системы содержат разнообразные средства контроля качества. В зависимости от настроек и желания администратора пароль пользователя может быть как нулевым, так и самым сложным, вплоть до навязанного принудительно.
Далее рассмотрим хранение паролей в ОС семейства Windows. Информация об учетных записях пользователей Windows хранится в ветке «HKEY_LOCAL_MACHINESAM» (SAM — Security Account Manager) системного реестра. А так как в Windows 2000/XP все ветки реестра «физически» расположены на диске в каталоге %SystemRoot%System32Config в нескольких файлах, то и эта ветка — не исключение. Она располагается в файле SAM. Отметим, что этот файл по умолчанию недоступен для чтения никому, даже Администратору, но все-таки к нему можно получить доступ (например, с помощью программ, типа SAMInside ).
Windows 2000/XP хранит пароли также как unix-системы в виде хэш-кодов. Эти хэш-коды хранятся в двоичном виде в SAM-файле, т.е. обычным текстовым редактором этот файл не откроешь. Среди сложной структуры SAM-файла нам интересна структура, называемая V-блок. Она имеет размер 32 байта и содержит в себе хэш-код от пароля для локального входа — NT Hash длиной 16 байт, а также хэш-код, используемый при аутентификации доступа к общим ресурсам других компьютеров — LanMan Hash или просто LM Hash, длиной также 16 байт. Алгоритмы формирования этих хэш-функций следующие:
Формирование NT Hash:
- Пароль пользователя преобразуется в Unicode-строку.
- Генерируется хэш-код на основе данной строки с использованием алгоритма MD4.
- Полученный хэш-код шифруется алгоритмом DES, причем в качестве ключа используется RID (т.е. идентификатор пользователя). Это необходимо для того, чтобы два пользователя с одинаковыми паролями имели разные хэш-коды. Все пользователи имеют разные RID-ы (RID встроенной учетной записи Администратора равен 500, встроенной учетной записи Гостя равен 501, а все остальные пользователи последовательно получают RID-ы, равные 1000, 1001, 1002 и т.д.).
Формирование LM Hash:
- Пароль пользователя преобразуется в верхний регистр и дополняется нулями до длины 14 байт.
- Полученная строка делится на две половинки по 7 байт и каждая из них по отдельности шифруется алгоритмом DES, на выходе которого получаем 8-байтный хэш-код — в сумме же имеем один хэш-код длиной 16 байт.
- Далее LM Hash дополнительно шифруется так же, как и в шаге 3 формирования NT Hash.
Для повышения безопасности хранения паролей, начиная с 3-го Service Pack’a в Windows NT (и во всех последующих NT-системах, вплоть до Windows 2003), полученные хэш-коды дополнительно шифруются еще одним алгоритмом с помощью утилиты syskey. Т.е. к вышеописанным алгоритмам добавляется еще 4-й шаг — получение с помощью syskey нового хэш-кода от хэш-кода, полученного на шаге 3.
Таким образом в обоих системах существует практически одинаковая система хранения паролей с использованием хэш-функций и применения некоторого случайного или секретного вектора (salt в unix и syskey в Windows).
Рассмотрим далее вопрос о парольной защите распространенных офисных программ: MS Word и защиту pdf-документов.
Защита файлов MS Word с помощью пароля имеет несколько уровней. Это защита от записи и изменения и защита от открытия файла. Первый тип защиты является наименее стойкий, что вообщем понятно — увидеть содержимое можно и так. В этом случае пароль хранится в самом файле в открытом виде либо в виде хэш-кода, размером 32 бита. В любом случае, с помощью любого hex-редактора можно этот пароль достать и затем перебрать.
Защита doc-файлов от открытия более стойкая. В этом случае содержимое файла зашифровано алгоритмом RC4. При этом ключ шифрования, который получен из пароля храниться в самом файле в хэшированном виде. Размер ключа шифрования существенно зависит от версии программы. До версии MS Office 2000 вне зависимости от размера пароля ключ шифрования был размером 40 бит, что позволяет осуществить перебор. Начиная с версии 2003, существует возможность увеличить размер ключа до 128 бит, что на сегодняшний день является вполне разумным решением. Следует заметить, что по умолчанию стоит использование 40-битных ключей, так что невнимательных пользователей может ожидать неприятный сюрприз.
Для защиты PDF документов так же существует два различных пароля — «пароль пользователя» и «пароль владельца». С помощью первого документ может быть защищен от открытия, с помощью второго на документ можно накладывать различные ограничения, например, невозможность печати. Используемые алгоритмы шифрования зависят от формата PDF — до версии 1.4 использовались только 40-битные ключи, затем появились 128-битные, с версии 1.6 внедрено шифрование по AES с длиной ключа до 256 бит. При этом есть возможность использовать инфраструктуру открытых ключей (PKI) для генерации ключей для шифрования.
Однако реализация системы защиты PDF такова, что файл с ограничениями может быть расшифрован мгновенно и независимо от длины пароля, даже в случае 128-битных ключей. Документ с паролем на открытие лишен подобных недостатков и для его открытия придется осуществлять перебор паролей.
Выбор хорошего (криптостойкого) пароля — HowToIT.ru
Выбрать хороший пароль — казалось бы простая задача, однако нередко многие испытывают с этим трудности, особенно сейчас, когда практически на каждом сайте, почте, системе обмена сообщениями, интернет-банке необходимо задать хороший уникальный пароль. Возможно именно из-за того, что паролей приходится придумывать много и вводить их часто люди относятся к этому довольно небрежно. В этом руководстве описаны простые советы о том, как выбрать надежный пароль.
В первую очередь рекомендуется проверить свой текущий пароль. Это можно сделать, например, на сайте http://www.howsecureismypassword.net/. Система подсчитает количество времени, которое необходимо потратить, чтобы подобрать ваш пароль. Конечно, это довольно грубый метод, однако, по крайней мере, он может мотивировать сменить пароль, если он может быть подобран в считанные минуты.
Основы
- Используйте как минимум 8 символов в вашем пароле, однако помните, что слишком длинные пароли легко забыть
- Используйте случайный набор символов, включающий в себя буквы в верхнем и нижнем регистрах, цифры, знаки пунктуации, пробелы и другие символы, такие как знак процента, доллара, и т.п.
- Не используйте слово в качестве пароля, т.к. такой пароль подбирается по словарю намного быстрее
- Никогда не используйте один и тот же пароль дважды
Чего следует избегать
- Не следует добавлять всего лишь один символ или цифру после слова, например «яблоко1»
- Не используйте два одинаковых слова подряд, например «яблокояблоко»
- Написать слово задом наперед — тоже недостаточно криптостойко, например «околбя»
- Не стоит убирать гласные и оставлять слово как есть, например «блк»
- Не используйте последовательности клавиш, которые могут быть легко повторены, например «йцукен» или «asdfg»
- Не используйте цифры для замены букв, например «ябл0к0»
Плохие пароли
- Не используйте пароль, основанный на личной информации, например: имя, ник, дата рождения, имя жены, имя домашнего животного, имя лучшего друга, родной города, номер телефона, номер машины, домашний адрес и т.п. Также не стоит использовать часть своего имени или, например, даты рождения.
- Не используйте в качестве пароля слово, обозначающее вещь, которая находится рядом, например пароли «компьютер», «монитор», «клавиатура», «телефон» бесполезны
- Не поддавайтесь соблазну использовать простые общие слова, которые легко запомнить, но которые нисколько не выполняют функцию криптозащиты. Таким словом может быть, например, «пароль»
Советы
- Выберите пароль, который вы сможете легко запомнить и вам не придется подглядывать его при вводе, это снизит шансы, что его кто-то подсмотрит через ваше плечо
- Выберите пароль, который вы можете быстро набрать на клавиатуре, тогда будет меньше вероятности того, что кто-нибудь запомнит комбинацию
Выбор пароля
- Используйте специальное программное обеспечение для генерирования пароля. Например, это может быть PWGen для Linux или PWGen для Windows. Такие пароли сложно запомнить, зато можно быть уверенным, что они криптостойкие. Также, такие программы могут быть полезны, если вам нужно сгенерировать сразу много паролей, например, для раздачи пользователям.
- Можно придумать предложение (или взять, к примеру, строчку песни), которое вы легко запомните, затем взять первые буквы из него (включая пунктуацию) и набрать их в английской раскладке, например:
- Предложение: У меня 2 Детей: Коля и Маша. Пароль: Ev2L:RbV
- Выберите два коротких слова и напишите их, поставив вместо пробела какой-нибудь знак, например: apple$SEA
Примеры плохих паролей
- Sasha74
- 05031953
- password
- йцукен
- апельсин1
Примеры хороших паролей
Запоминание пароля
Для некоторых людей запомнить пароля является непростой задачей. Не следует записывать пароли на листочек бумаги или в блокнот, также не стоит хранить их в незащищенных файлах. Вот несколько вариантов хранения паролей:
- Использовать специальные программы — менеджеры паролей
- Записать все пароли в один файл, а его зашифровать надежным алгоритмом, используя хороший пароль, который вы сможете запомнить
- Придумать такие пароли, которые легко запомнить
Как защитить свой пароль
- Не сохраняйте свой пароль на компьютере, кроме как в надежных программах менеджерах-паролей. Откажитесь от сохранения паролей в Windows и в браузерах
- Никому не говорите свой пароль, даже системному администратору. В том случае, если пароль пришлось сообщить, смените его в ближайшее время.
- Никогда не отправляйте свой пароль по e-mail или другому небезопасному каналу
- Да, вы можете записать пароль в блокноте или на бумажке, но храните её вдали от посторонних, желательно, под замком
- Аккуратно вводите пароль при посторонних
Работа со связкой ключей (часть 2)
В первой части мы писали как создать хороший, легко запоминающийся пароль. Рассмотрели правильные и неправильные способы создания пароля. А в этой части мы расcмотрим способы хранения паролей, секретных данных (Данные кредитных карточек, номера счетов, банковских ячеек и.т.д.). Поскольку способы хранения паролей, настолько же важны как и надженость. Также расскажем что делать когда почта постоянно запрашивает пароль, Wi-Fi не подключается в автоматическом режиме, да и в принципе что делать когда беда с паролями.
Где хранить пароли в Mac OS? Связка ключей или 1Password?
Как мы писали ранее, пароль — важный аспект без которого не может существовать безопасность как в операционной системе Mac OS, так и в любой другой. Поэтому важна как сам длинна и надежность пароля так и его способы хранения, поскольку если пароль надежный, соответствует всем корпоративным и мировым стандартам, но храниться на бумажке приклеенной к монитору компьютера то пользы от такого пароля немного. (Не смейтесь, такой случай реальный- не преувеличение)
Но вернемся к нашим паролям, издавна сервис инженеры, блогеры и все люди которые так или иначе связанны с Mac OS сравнивают такие программы как связку ключей и 1Password. Разбирают их по кусочкам, находят преимущества и недостатки, гоняться за функциональностью. Но давайте не замыленным взглядом посмотим на ситуацию.
За годы обслуживания мы стыкались с сотнями клиентов которые хранят пароли совершенно по разному, начиная от связки ключей и 1Password, заканчивая текстовым документом на рабочем столе и естественно с названием документа «пароли». Разбирали по полочкам их проблемы, восстанавливали потерянные пароли и «мертвые базы паролей». Но давайте начнем не с последствий а причин. Что первостепенно нужно от программы которая хранит пароли? Надёжность! Под этим словом мы подразумеваем не только криптостойкость базы паролей, но и человеческий фактор. Давайте не будем торопиться и разберем все по пунктам.
Криптостойкость базы паролей — это способность криптографического алгоритма противостоять криптоанализу. (простым языком — сколько времени надо для взлома) Стойким считается алгоритм, который для успешной атаки требует от противника недостижимых вычислительных ресурсов, недостижимого объёма перехваченных открытых и зашифрованных сообщений или же такого времени раскрытия, что по его истечению защищенная информация будет уже не актуальна, и т. д. В большинстве случаев криптостойкость нельзя математически доказать, можно только доказать уязвимости криптографического алгоритма. Подробную статью по криптографии можно почитать на Википедии, в ней описано не только методы, но и теоритические уровни систем.
По отношению к криптостойкости базы как связки ключей так и 1Password практически одинаковы (используют одинаковый тип шифрования)
Человеческий фактор — Под человеческим фактором мы подразумеваем все что связанно с действиями пользователя. А именно: обновления системы, обновление отдельных программ (Safari, iTunes и пр.), неверные действия пользователя ( к примеру удаление или изменения пароля), надежность использования.
Основной и самой серьезной проблемой и недостатком программы 1Password является то что ее разрабатывают и обновляют сторонний производитель ПО. А поэтому разработчики программы могут не успевать за обновлением системы, и не редки случаи когда обновилась Safari, а 1Password не подставляет в автоматическом режиме в нее пароли, поэтому пользователю приходиться открывать программу, вводить мастер пароль, находить по ключевым словам нужную запись и в ручном режиме подставлять пароль. И так для каждого сайта. А вот после обновления системы в некоторых случаях, программа вообще не запускается, что недопустимо в условиях работы с паролями, ведь не зная его вы не получаете доступа к информации которую она скрывает.
Интерфейс программ и удобство использования сравнивать тяжело, поскольку, как говориться, на вкус и цвет.
Касательно надежности можем привести закон Мерфи:
если есть вероятность того, что какая-нибудь неприятность может случиться, то она обязательно произойдёт
Использование программы 1Password не в коем случае не освобождает от пользования связки ключей. Система все равно будет хранить пароли от Wi-Fi, почты и др. в связке ключей. А соответственно вы можете потерять пароли в результате сбоя одной из программ.
Цена — связка ключей абсолютно бесплатна, а вот за 1Password придётся заплатить 50$.
Поэтому наши рекомендации — используйте стандартные средства хранения паролей — связку ключей, не рискуйте.
Как подсмотреть забытые пароли?
Если вы забыли пароль и хоть раз вводили его не компьютере вы можете подсмотреть его в связке ключей. Для этого:
1) Откройте программу, она находиться в Finder->Программы->Утилиты
2) Вбейте в поиск название сервиса от которого хотите вспомнить пароль. Для Wi-Fi сети это название (к примеру Apple Network), для почты это имя сервера:
Если не знаете что писать для других сервисов- пишите в коментариях, подскажем
3) После того как нашли пароль, 2-а раза щелкните на него, чтобы открылось диалоговое окно и поставьте галочку «Показать пароль»
4) Связка ключей запросит у вас пароль пользователя, поскольку именно этим паролем и щифруеться база программы. Если вы его не помните рекомендуем прочитать статью как сбросить пароль на Mac OS, но после этой процедуры все данные программы будут потеряны.
5) После ввода пароля и нажатие на кнопку «Разрешить» в поле «Пароль» появятся символы — это и есть те данные которые вы искали
Как внести новый пароль в связку?
По умолчанию все пароли которые вы вводите на компьютере под операционной системой Mac OS будут записаны в связку ключей. Но существуют и ряд других паролей которые нужно запомнить, но вы их не вводили на компьютере. К примеру пин код от банковской карточки, код от iPhone, код от чемодана для командировок да и многие другие пароли. В этом случае нам надо:
1) Открыть связку ключей и нажать на «+» который находится в низу окна программы
2) Внести данные:
- Название — по нему вы будете искать пароль в связке ключей
- Имя пользователя — введите имя пользователя если такое есть. (если нету внесите произвольное значение) Рекомендуем не вносить данные карточки, а дочитать статью до конца. Это связанно с тем что имя пользователя отображается даже без запроса пароля пользователя, поэтому не рекомендуем вносить в это поле данные по типу номера карточки. Для этих целей можно воспользоваться секретными заметками. Как ими пользоваться мы описали ниже.
- Ну и собственно введите сам пароль
3) После нажатия на кнопку «Добавить» запись вноситься в базу и будет доступна для прочтения и поиска.
Что делать с данными кредитных карт, номера счетов и другими данными? (Как создать секретную заметку Mac OS)
Для данных кредитных карт, номеров счетов, и другой секретной текстовой информации, как мы поняли в прошлом параграфе, способ с «новый пароль» не подходит, по причине доступности «имени пользователя» чуть ли не всем желающим. Но компании Apple, для этих целей предусмотрела секретную заметку. Чтобы создать секретную заметку, внести туда данные, вам надо:
1) Открыть связку ключей и перейти в Файл->Новая секретная заметка или создать заметку клавиатурным сокращением CMD+Shift+N
2) После чего вам осталось ввести:
- Название заметки (по нему вы будете искать вашему заметку)
- Собственно само тело заметки
Что делать в случае сбоя связка ключей Mac OS?
На практике связка ключей очень редко дает сбой, но иногда, в результате обновлений или неправильных действий пользователя, все же ошибки появляются. Это может проявляться так:
- Mail постоянно запрашивает пароль
- Wi-Fi автоматически не подключается
- Safari не подставляет пароли
- не подходит пароль пи выходе из режима сна
- Другие проблемы.
В случае с Mail проблему можно решить так:
1) Выключить Mail
2) Удалить из связки ключей пароль
3) Запустить Mail
4) В настройках Mail->Учетные записи ввести заново пароль от POP/IMAP сервера и SMTP сервера
Проблемы с Wi-Fi решаются так:
1) Отключить Wi-Fi
2) Удалить пароль от сети из связки
3) Зайти в системные настройки->Сеть
4) Нажать Wi-Fi->Дополнительно
5) В поле «Предпочтительные сети» удалить вашу Wi-Fi сеть
6) Включить Wi-Fi и заново подключиться к Wi-Fi
В случае с Safari и прочими проблемами попробуйте
1) Открыть связку ключей
2) Открыть первую помощь связки ключей, как показано на картинке снизу
3) Ввести пароль, поставить переключатель на «Восстановление» и нажать старт.
4) После недолгой процедуры восстановления рекомендуем перегрузить компьютер.
В заключение можем порекомендовать прочитать другие статьи по безопасности:
Парольная защита Microsoft Excel — История Excel
Защита Microsoft Excel предоставляет несколько типов различных паролей:
- пароль для открытия документа[4]
- пароль для изменения документа[5]
- пароль для защиты листа
- пароль для защиты книги
- пароль для защиты общей книги[6]
- пароль для защиты кода VBA
Все пароли, кроме пароля для открытия документа, можно удалить мгновенно, вне зависимости от версии Microsoft Excel, в которой был создан документ. Эти типы паролей в первую очередь служат для коллективной работы над документом. При их использовании документ не шифруется, а в документе сохраняется хэш от установленного пароля. Хотя при использовании пароля для защиты книги документ шифруется на известном пароле «VelvetSweatshop», это не добавляет документу дополнительной защиты. Единственным типом пароля который может помешать злоумышленнику получить доступ к документу является «пароль для открытия», но криптостойкость такой защиты сильно зависит от версии Microsoft Excel, в которой был создан документ.
В Microsoft Excel версии 95 и ранее, «пароль на открытие» преобразовывается в 16-битный ключ, который взламывается мгновенно. В Microsoft Excel 97 / 2000 пароль преобразовывался уже в 40-битный ключ, который на современном оборудовании также может быть взломан очень быстро. К тому же программы для взлома паролей могут перебирать сотни тысяч паролей в секунду, что позволяет не только расшифровать документ, но и найти оригинальный пароль. В Microsoft Excel 2003 / XP ситуация немного улучшилась — пользователь может выбрать практический любой алгоритм шифрования, доступный в системе (CryptoServiceProvider). Но по умолчанию осталась все та же защита Microsoft Excel 97 / 2000[7]. Для пользователей, привыкшим доверять поведению программ по умолчанию, это означает отсутствие стойкой защиты на их документы.
Ситуация кардинально изменилась в Microsoft Excel 2007 — для шифрования стал использоваться современный алгоритм AES с ключом в 128 бит, а для получения ключа применяться 50000 кратное использование хэш-функции SHA1, что уменьшило скорость перебора до сотен паролей в секунду[8]. В Microsoft Excel стойкость защиты по умолчанию была увеличена ещё в 2 раза, благодаря применению уже 100000 кратного SHA1 преобразования пароля в ключ. Вывод: на данный момент стойкую защиту обеспечивает только документы, сохраненные в формате Office 2007 / 2010 с установленным на них стойким «паролем на открытие»
Как генерировать и запоминать сложные пароли, или Генератор мнемонических паролей
В последнее время это стало проблемой. Люди спрашивают Google по-всякому: «самый сложный пароль в мире», «помогите придумать пароль», «лучший генератор паролей», «криптостойкий пароль»…
Никто не любит, когда пароль подбирают или крадут. Никто не хочет отдавать секреты плохим парням. Легкие пароли подбирают и взламывают ваши учетные записи. Сложные пароли невозможно запомнить и приходится их записывать — где их опять же могут украсть. И даже если вас еще нет в базе сервиса Have I Been Pwned, это не повод расслабляться.
Каждый из вас может стать генератором сложных мнемонических паролей. Для этого предлагаю несколько советов, которые помогут вам генерировать и запоминать сложные пароли. Только я не хочу, чтобы люди становились хомячками и бездумно копировали мою систему. Не будьте хомячками, пожалуйста.
В течение многих лет я использовал такие пароли, как будто клал ключ от квартиры под коврик. Герои любимых видеоигр. Моя фамилия и две последние цифры моего года рождения. Слово «пароль» задом наперед…
Теперь у меня есть довольно простая система генерации и запоминания паролей: легкая, неприступная и уникальная. Можно ее назвать красивым выражением «генератор мнемонических паролей». Она делится на три части: случайный ключ, контекст и формулу.
Система «ключ + контекст + формула»
Пристально рассмотрим каждую часть, затем я приведу несколько примеров.
Начните со случайного ключа. Это может быть что угодно. Вы можете воспользоваться подходом XKCD и выбрать строку из нескольких слов — афоризм или панграмму:
- Каждый охотник желает знать, где сидит фазан
- Съешь-ка ещё этих мягких французских булочек да выпей чаю
- Глаза — часть мозга, вынесенная на периферию
- Grumpy Wizards Make Toxic Brew For the Evil Queen & Jack
Не беспокойтесь слишком много о том, как бы не забыть этот ключ. Вы будете использовать его повсюду, и мышечная память начнет действовать в ближайшее время.
Далее рассмотрим URL-адрес — контекст. Для какого URL создается пароль? Если это не для веб-службы, то выберите любое доминирующее имя в контексте. Например, если это для игры, используйте название игры. Если это для Wi-Fi, вы можете использовать SSID. Если это для вашего локального компьютера, вы можете использовать имя компьютера или имя вашего жесткого диска. Если это для вашей электронной почты, вы можете использовать собаку и аббревиатуру доменного имени с точкой (например, @g.c для gmail.com).
Наконец, формула. Главный секрет — создать формулу, основанную на комбинации случайного ключа и первичного имени в контексте. Вы можете начать с первых трех букв имени, затем — подчеркивание, а затем — случайный ключ. Возможно, вы захотите пойти немного дальше и взять две первые и две последние буквы имени и ввести их в обратном порядке со случайным ключом и тремя восклицательными знаками. Или можете взять первые три символа имени и увеличить их значения на единицу, так что ‘yah’ станет ‘zbi’, а ‘gma’ — ‘hnb’. Главное — удобное для вас сочетание ключа и формулы. Это может сначала показаться сложным, но как только вы запомните этот случайный ключ, и формула станет второй натурой, вы станете машиной-генератором крутых паролей.
Красота этой системы заключается в том, что если кто-то взломает одну из ваших учетных записей и получит ваш пароль, у них будет только один уникальный пароль, который не нужен больше нигде. И если вам нужно поменять пароли (а это вы должны делать время от времени), вы можете изменить либо формулу, либо ключ. Это означает, что для восстановления старых забытых паролей нужна только формула или ключ.
Примеры легкой генерации сложных паролей
Давайте рассмотрим несколько примеров, чтобы вы могли лучше представить себе, о чем я говорю.
Пример 1: простая формула
Представим, что ваш случайный ключ — Lineage2cleric. Ваша формула состоит в том, чтобы взять последние 4 символа имени и разбить их по обе стороны от вашего ключа восклицательными знаками.
- Создаем пароль для вашей почты Yahoo (mail.yahoo.com). Итак, ваш пароль: ah!Lineage2cleric!oo
- Создаем пароль для учетной записи Adobe Creative Cloud — например, Behance (adobe.com). Ваш пароль: do!Lineage2cleric!be
Пример 2. сложная формула
Ваш случайный ключ — мдсчпкнвшзоусзилвнм (первые буквы слов в первом четверостишии известной поэмы, есть догадки?). Если покороче и на английском — tbontbtitq. Ваша формула может быть такой — после каждой 2й буквы вставляем 1 букву из доменого имени используемого сервиса, затем вставляем специальный символ (! @ # % &) через каждые 4 буквы. Если доменное имя длинное, берем по 2 буквы, затем вставляем спецсимвол через каждые 3 буквы.
- Создаем пароль для почты Gmail (gmail.com). Ваш пароль: tbgo#nmtb#atii#tql
- Создаем пароль для учетной записи Instagram (instagram.com). Ваш пароль: tbi&non&stt&bag&tir&atq&m
Две заметки и важное предупреждение
1) вы столкнетесь с некоторыми старыми сайтами, которые время от времени ограничивают символы или длину вашего пароля. Например, вы можете использовать ! в вашей формуле, но ваш онлайн-банк или устаревший почтовый сервис не допускает этот символ в паролях. Я рекомендую придумать систематический способ обхода глупых правил с этими сайтами (например, всегда менять ! на 1 или вообще удалить их).
2) в Gmail или Twitter вам может понадобиться несколько паролей для одного домена. В этом случае я бы добавил в формулу новый слой, основанный на создаваемой учетной записи (например, первые буквы почтового логина Gmail или имени пользователя Twitter).
Главная уязвимость в этой системе — это ваша формула. Не разглашайте ее никому, и пусть она будет достаточно туманной, чтобы ее нельзя было понять, просто посмотрев на пароль (например, twitter + ваше имя = fail). Я рекомендую использовать отдельную сложную формулу для таких сайтов, как ваш онлайн-банк или личный сайт.
— — —
по мотивам статьи Jesse Gardner ‘A Better System for Passwords’
Эту страницу находят по запросам:
- генератор мнемонических паролей
- самый сложный пароль в мире
- помогите придумать пароль
- лучший генератор паролей
- криптостойкий пароль
- пароль от 6 до 20 символов
- длинные пароли
Насколько безопасен мой пароль?
Записи на 100% безопасны, никоим образом не хранятся и никому не передаются. Период.
, как видно на
Растут случаи утечки данных и кражи личных данных, и причиной часто является взлом паролей. После кражи учетных данных киберпреступники могут использовать пароли для запуска кампаний дезинформации против компаний, использовать платежную информацию людей для покупок и шпионить за пользователями с помощью камер видеонаблюдения, подключенных к Wi-Fi.Мы создали этот инструмент, чтобы помочь вам лучше понять безопасность паролей.
Как создавать безопасные пароли
Лучшие методы создания безопасных паролей:
- Пароль должен состоять из 16 или более символов; Наше исследование, связанное с паролями, показало, что 45 процентов американцев используют пароли из восьми или менее символов, которые не так безопасны, как более длинные пароли.
- Пароль должен включать комбинацию букв, цифр и символов.
- Запрещается передавать пароль другим аккаунтам.
- Пароль не должен содержать никакой личной информации пользователя, например его адреса или номера телефона. Также лучше не включать какую-либо информацию, доступную в социальных сетях, например имена детей или домашних животных.
- Пароль не должен содержать последовательных букв или цифр.
- Пароль не должен состоять из слова «пароль» или повторяющейся буквы или цифры.
Почему важна защита паролем?
Отсутствие безопасных паролей имеет свои последствия, которые включают, но не ограничиваются:
- После получения доступа к учетным данным пользователя многие хакеры будут входить в их учетные записи, чтобы украсть больше их личной информации (PII), такой как их имена, адреса и данные банковского счета.Они будут использовать эту информацию либо для кражи денег напрямую у пользователя, либо для кражи их личности. Кража личных данных может привести к дальнейшим финансовым потерям или трудностям с получением ссуд или трудоустройством.
- Отсутствие конфиденциальности
- Для предприятий хакеры могут начать кампании по дезинформации против компаний, обмениваясь их данными с конкурентами и сохраняя их для получения выкупа1.
Влияние украденных паролей
Взломанные пароли стали причиной 80% всех утечек данных в 2019 году2, что привело к финансовым потерям как для предприятий, так и для потребителей.
Влияние на бизнес
- По данным IBM, на международном уровне средняя стоимость утечки данных в 2020 году для предприятий составила 3,86 миллиона долларов. Однако в США средняя стоимость была самой высокой в мире и составила 8,64 миллиона долларов3.
- В частности, в обрабатывающей промышленности вредоносное ПО, которое крадет учетные данные и сбрасывает пароли, вызвало 922 инцидента кибербезопасности в 2020 году. 73 процента этих инцидентов были вызваны финансовыми стимулами, а в 27 процентах этих инцидентов мотивом был шпионаж4.
Основные данные скомпрометированы | Процент производителей с утечками данных в 2020 году |
---|---|
Учетные данные | 55% |
Личный | 49% |
Оплата | 20% |
Другое | 25% |
- Если у компаний есть утечка данных из-за кражи учетных данных, они могут потерять до трех процентов своей общей рыночной стоимости в долгосрочной перспективе.Для розничной торговли эта потеря утроится до девяти процентов всего за 30 дней после объявления о нарушении. По мнению исследователей из бизнес-школы Кенана Флаглера при Университете Северной Каролины, это увеличение связано с тем, что розничные покупатели менее лояльны к бренду, чем потребители в других отраслях5.
Влияние на потребителей
Данные клиентов, относящиеся к PII, являются наиболее ценным типом данных, который хакеры могут извлечь при нарушениях безопасности. Согласно отчету IBM «Стоимость утечки данных за 2020 год», стоимость каждой записи составляет 150 долларов.
FTC сообщает, что в 2019 году общие убытки от кражи личных данных, которые могут быть вызваны украденными паролями, составили 92 миллиона долларов. Средний убыток потребителей от кражи личных данных составил 8946 долларов.
Другие способы защиты в Интернете
Помимо создания безопасных и уникальных паролей для всех учетных записей в Интернете, существуют и другие передовые методы повышения цифровой безопасности.
- Используйте VPN: Хотя пароли не позволяют неавторизованным пользователям попадать в учетные записи, провайдеры интернет-услуг могут отслеживать онлайн-активность пользователей, а также частные IP-адреса своих устройств.Единственный способ скрыть веб-активность и IP-адреса — подключиться не напрямую к публичной сети Wi-Fi, а к VPN, что означает виртуальная частная сеть. Узнайте больше о поиске лучшей VPN, проверенной нашими экспертами по цифровой безопасности.
- Получите защиту от кражи личных данных: Хотя надежный пароль может иметь большое значение для защиты учетных записей в Интернете, нет единого действия, которое могло бы защитить личную информацию пользователя от кражи личных данных. Лучшее программное обеспечение для защиты от кражи личных данных, скорее, отслеживает ключевые криминальные и финансовые области на предмет личной информации пользователей.
- Установите домашнюю систему безопасности: Пользователи могут защитить свои дома и семьи с помощью высококлассных домашних систем безопасности.
- Используйте антивирусное программное обеспечение: Антивирусное программное обеспечение сканирует компьютеры, телефоны и планшеты на наличие вредоносных программ, вирусов, программ-вымогателей, шпионского ПО и других киберугроз.
- Используйте менеджер паролей: Менеджеры паролей хранят имена пользователей и пароли в зашифрованных хранилищах, требуя только мастер-пароли или биометрические данные для входа в учетные записи.
- Меняйте пароли только при необходимости: Это миф, что пользователи должны менять свои пароли через определенные промежутки времени. Согласно последним сообщениям, менять пароли необходимо только в том случае, если сама учетная запись взломана.
Как работает наш инструмент: методология
Наш вышеприведенный инструмент «Насколько безопасен ваш пароль» проверяет пароли пользователей по базе данных распространенных ненадежных паролей. Он оценивает каждый пароль на основе таких ключевых факторов, как:
- Количество символов: Пароль должен содержать от восьми до 10 паролей, но в идеале — от 16 до 20 символов.
- Комбинации: Пароль должен включать комбинацию букв, цифр и символов, а не фразу. Каждый символ имеет соответствующее числовое значение, и эти символы суммируются, чтобы получить общую сумму.
- Уникальность: Пароль не должен повторяться с точки зрения его символов, а должен содержать уникальные комбинации.
Используя эти факторы, инструмент оценивает каждый пароль и преобразует эту оценку в количество времени, которое потребовалось бы компьютеру для взлома этого пароля.B5sjmXl »потребуется 34 000 лет, чтобы взломать компьютер.
Часто задаваемые вопросы
Чтобы получить дополнительную информацию о безопасности паролей и гигиене, мы ответили на наиболее часто задаваемые вопросы.
Какой самый надежный пароль?
Не существует единого пароля, который был бы «наиболее безопасным», и если бы он был, написание его здесь сделало бы его небезопасным, поскольку тысячи людей использовали бы его в своих учетных записях.Скорее, безопасные пароли содержат кажущуюся случайной комбинацию цифр, букв и символов и включают по крайней мере от 16 до 20 символов.
Какой пример надежного пароля?
Примером безопасного пароля является bL8% 4TO & t9b%, сгенерированный менеджером паролей LastPass, на взлом которого компьютеру потребуется 46 миллионов лет!
Насколько безопасен пароль из 12 символов?
12-значный пароль надежен; однако самые безопасные пароли состоят из 16-20 символов.
Длинные пароли безопаснее?
Длинные пароли надежнее коротких. Мы рекомендуем использовать пароли длиной от 16 до 20 символов, хотя почти половина американцев использует пароли из восьми или менее символов.
Какие пять самых распространенных паролей?
Согласно исследованию NordPass, проведенному в 2020 году, пять наиболее распространенных паролей: 123456, 123456789, picture1, password и 12345678.
Пароль Сколько людей им пользуются? Сколько времени потребовалось, чтобы взломать? Сколько раз оно было выставлено напоказ? 123456 2 543 285 Менее 1 секунды 23 597 311 123456789 961 435 Менее 1 секунды 7 870 694 изображение1 371 612 3 часа 11 190 пароль 360 467 Менее 1 секунды 3,759,315
Измеритель надежности пароля
Действительно ли безопасно использовать средства проверки паролей?
Если вы читаете этот раздел, то хорошо — самый быстрый способ стать жертвой взлома в Интернете — это слишком доверять или предполагать, что веб-сайты автоматически безопасны.Будьте осторожны, и никогда не рекомендуется вводить свои законные учетные данные на любом веб-сайте, в котором вы не уверены. Особенно стоит обратить внимание на тех, кто просит вас ввести свои учетные данные.
Итак, почему
этот Password Strength Meter безопасен?
- Пароли, которые вы вводите, никогда не покидают ваш браузер, и мы не храним их (вы можете отключить интернет-соединение, а затем попробовать его, если хотите)
- Вся проверка выполняется на странице, на которой вы находитесь, а не на наших серверах
- Даже если бы пароль был отправлен нам, мы все равно не узнали бы, кто вы такие, поэтому не смогли бы сопоставить его ни с какими именами пользователей или какими-либо веб-сайтами, которые вы можете посетить.
- Мы стремимся сделать людей более безопасными в Интернете, и последнее, что мы хотим видеть, — это небезопасная передача паролей через Интернет.
Как работает проверка надежности пароля My1Login?
- Калькулятор надежности пароля использует различные методы для проверки надежности пароля. Он использует общие словари паролей, обычные словари, словари имен и фамилий и другие. Он также выполняет атаки подстановки на эти общие слова и имена, заменяя буквы цифрами и символами — например, он заменяет A на 4 и @, E на 3, I на 1 и! И многое другое.Подмена очень типична для людей, которые думают, что они делают пароли более надежными. Хакеры знают об этом, поэтому это одна из первых вещей, которые хакерские программы используют для взлома пароля.
- Измеритель надежности пароля проверяет наличие последовательности используемых символов, таких как «12345» или «67890»
- Он даже проверяет близость символов на клавиатуре, таких как «qwert» или «asdf».
Распространенные ошибки и заблуждения
- Замена букв цифрами и символами.Этот метод хорошо известен хакерам, поэтому замена буквы «E» на «3» или «5» на «$» не делает вас более безопасным.
- Соответствие минимальным требованиям к паролю делает его надежным. По сегодняшним меркам 8-значный пароль не очень безопасен.
- Что можно часто использовать один и тот же пароль, если он надежен. Что делать, если веб-сайт взломан? Вы знаете, как на сайте хранится ваш пароль? Что, если они сохранят его в виде открытого текста?
Виновен
- Слабые практики — хранение паролей в поле заметок на телефоне, автоматическая синхронизация с облаком, iCloud или Dropbox
- Помещение их в электронную таблицу, даже защита таблицы паролем не обеспечивает безопасность информации.Ознакомьтесь с нашим блогом по этой и другим вопросам безопасности.
Что делает надежный пароль?
Надежный пароль — это пароль, который либо нелегко угадать, либо нелегко взломать. Чтобы его было нелегко угадать, это не может быть простое слово, а чтобы его было нелегко взломать, оно должно быть длинным и сложным. Суперкомпьютеры могут делать миллиарды попыток в секунду, чтобы угадать пароль. Постарайтесь, чтобы ваши пароли состояли минимум из 14 символов.
Кодовая фраза
Парольная фраза — это просто пароль, то есть длиннее, это может быть предложение с пробелами и знаками препинания.Преимущество парольной фразы в том, что обычно ее легче запомнить, но труднее взломать из-за ее длины. Для каждого дополнительного символа в длине пароля или ключевой фразы время, необходимое для взлома, увеличивается экспоненциально. В конечном итоге это означает, что длинный пароль или кодовая фраза может сделать вас намного более безопасным, чем короткий пароль с некоторыми символами или цифрами.
Password Meter — визуальная оценка сильных и слабых сторон пароля
Дополнения | Тип | Оценка | Счетчик | Бонус |
---|---|---|---|---|
Кол-во знаков | Квартира | + (п * 4) | ||
Прописные буквы | Cond / Incr | + ((лен-н) * 2) | ||
Строчные буквы | Cond / Incr | + ((лен-н) * 2) | ||
Номера | Cond | + (п * 4) | ||
Обозначения | Квартира | + (п * 6) | ||
Средние цифры или символы | Квартира | + (п * 2) | ||
Требования | Квартира | + (п * 2) |
Вычеты | Тип | Оценка | Счетчик | Бонус |
---|---|---|---|---|
Только буквы | Квартира | -n | ||
Только номера | Квартира | -n | ||
Повторяющиеся символы (без учета регистра) | Comp | – | ||
Последовательные прописные буквы | Квартира | — (п * 2) | ||
Последовательные строчные буквы | Квартира | — (п * 2) | ||
Порядковые номера | Квартира | — (п * 2) | ||
Последовательные буквы (3+) | Квартира | — (п * 3) | ||
Порядковые номера (3+) | Квартира | — (п * 3) | ||
Последовательные символы (3+) | Квартира | — (п * 3) |
Легенда |
---|
Исключительно Превышает минимальные стандарты.Применяются дополнительные бонусы. |
Достаточно Отвечает минимальным стандартам. Применяются дополнительные бонусы. |
Предупреждение Рекомендации против использования недобросовестных практик. Общий балл снижен. |
Отказ Не соответствует минимальным стандартам. Общий балл снижен. |
Дополнительные очки даются за увеличение разнообразия персонажей.Окончательный результат — это совокупный результат всех бонусов за вычетом удержаний.
Окончательная оценка ограничивается минимум 0 и максимум 100.
Оценка и оценка сложности не зависят от минимальных требований.
- плоский
- Скорость добавления / удаления с неизменяемыми приращениями.
- Incr
- Ставки, которые добавляют / удаляют с регулируемым шагом.
- Cond
- Ставки, которые добавляют / удаляют в зависимости от дополнительных факторов.
- Комп.
- Слишком сложные расценки, чтобы их суммировать. Подробности см. В исходном коде.
- n
- Относится к общему количеству вхождений.
- лен
- Общая длина пароля.
Заявление об отказе от ответственности:
Это приложение предназначено для оценки надежности строк паролей.
Мгновенная визуальная обратная связь дает пользователю возможность улучшить
надежность их паролей, с упором на взлом типичных
вредные привычки неправильного составления пароля.Поскольку официального взвешивания нет
система существует, мы создали собственные формулы для оценки общей прочности
заданного пароля. Обратите внимание, что это приложение не использует
типичный подход к определению прочности «от дней до трещин».
Мы обнаружили, что эта конкретная система сильно отсутствует и ненадежна.
для реальных сценариев. Это приложение не является ни совершенным, ни надежным,
и его следует использовать только как общее руководство при определении методов улучшения
процесс создания пароля.
xkcd: надежность пароля
xkcd: надежность пароля
Надежность пароля
Постоянная ссылка на этот комикс: https://xkcd.com/936/
URL изображения (для хотлинкинга / встраивания): https://imgs.xkcd.com/comics/password_strength.png
((Комикс иллюстрирует относительную надежность паролей при условии базовых знаний о системе, используемой для их генерации. Набор полей используется для обозначения того, сколько бит энтропии обеспечивает раздел пароля.Комикс состоит из 6 панелей, расположенных в сетке 3×2. В каждой строке первая панель объясняет разбивку пароля, вторая панель показывает, сколько времени потребуется компьютеру, чтобы угадать пароль, а третья панель представляет собой пример сцены, показывающей, что кто-то пытается вспомнить пароль.))
[[Пароль «Tr0ub4dor & 3» показан в центре панели. Строка каждой аннотации указывает раздел слова, к которому относится комментарий.]]
Необычное (не тарабарщина) базовое слово [[Выделение основного слова — 16 бит энтропии.]]
Шапки? [[Выделение первой буквы — 1 бит энтропии.]]
Общие замены [[Выделение букв «а» (заменяется на «4») и обоих «о» (первая из которых заменяется на «0») — 3 бита энтропии.]]
Пунктуация [[Выделение символа, добавленного к слову — 4 бита энтропии.]]
Цифра [[Выделение числа, добавленного к слову — 3 бита энтропии.]]
Порядок неизвестен [[Выделение добавленных символов — 1 бит энтропии.]]
(Вы можете добавить еще несколько битов, чтобы учесть тот факт, что это только один из немногих распространенных форматов.28 = 3 дня при 1000 угадываний
сек
(Вероятная атака на слабую удаленную веб-службу. Да, взлом украденного хэша происходит быстрее, но это не то, о чем следует беспокоиться среднему пользователю.)
Трудно угадать: легко.
[[Человек стоит, почесывая затылок, пытаясь вспомнить пароль.]]
Человек: Это был тромбон? Нет, Трубадор. И одна из ОС была нулем?
Человек: А там был какой-то символ …
Сложность запоминания: тяжело.
[[Фраза-пароль «правильная скоба для лошадиных аккумуляторов» отображается в центре панели.]]
Четыре случайных общих слова {{Каждое слово имеет 11 бит энтропии.44 = 550 лет при 1000 предположениях
сек
Трудно угадать: сложно.
[[Человек думает, в его мысленном пузыре лошадь стоит сбоку и разговаривает с сторонним наблюдателем. Стрелка указывает на скобу, прикрепленную к боковой стороне батареи.]]
Лошадь: Это элемент питания для батареи.
Наблюдатель: Верно!
Сложность запоминания: вы уже запомнили это
((Подпись под комиксом гласит: За 20 лет усилий мы успешно научили всех использовать пароли, которые трудно запомнить людям, но легко угадать компьютерам.))
{{Текст заголовка: Я искренне извиняюсь перед всеми, кто разбирается в теории информации и безопасности и ведет яростный спор с кем-то, кто не понимает (возможно, смешанный случай).}}
Мне нравятся комиксы:
Трехсловная фраза,
SMBC,
Комиксы о динозаврах,
Оглаф (nsfw),
Более мягкий мир,
Баттерсейф,
Библейское содружество Перри,
Сомнительное содержание,
Фестиваль лютиков,
Хоумстак,
Час силы для молодых ученых
Эта работа находится под лицензией
Лицензия Creative Commons Attribution-NonCommercial 2.@), а также строчные и прописные буквы. Чем дольше, тем лучше. Рекомендуется минимум восемь символов. Не используйте личную информацию, например имя собаки или год выпуска. Не делайте свой пароль идентичным вашему имени пользователя или электронной почте.
Использование диспетчера паролей
Все ваши пароли должны быть разными, чтобы в случае утечки пароля хакеру его нельзя было использовать для всех ваших учетных записей.Пароли также следует регулярно менять. Компании могут не сообщать пользователям об утечках данных, а просочившиеся пароли могут не использоваться хакерами в течение длительного времени. Запоминание всех ваших новейших паролей может быть трудным, поэтому мы рекомендуем использовать менеджер паролей. Менеджер паролей хранит пароли всех ваших учетных записей в одном приложении или расширении браузера и может вводить их автоматически при входе в систему. Для доступа к ним вам нужно запомнить только один главный пароль.
Опасности слабых паролей
Слабые пароли могут позволить злоумышленникам войти в вашу учетную запись.Они могут захватить электронную почту и учетные записи социальных сетей и использовать их в качестве спам-ботов. Они могут украсть личную информацию, что может привести к краже личных данных. Небольшие и сложные пароли уязвимы для атак методом «грубой силы», которые угадывают все возможные комбинации символов, пока они не встретятся с правильным паролем. Как правило, сначала они пробуют комбинации строчных букв. Хакерам легче угадать пароли, содержащие личную информацию (год рождения, любимую спортивную команду).
Предсказуемые последовательности и ограничения инструментов надежности паролей
Хотя этот инструмент идентифицирует многие из наиболее распространенных паролей, он не может учитывать все пароли и широкий спектр инструментов, которые хакеры могут использовать для их взлома.Использование предсказуемых последовательностей символов или других неслучайных последовательностей значительно упростит взлом пароля, и не каждая такая последовательность будет обнаружена этим инструментом. Он предназначен только для образовательных целей, и мы не можем гарантировать его точность.
В качестве примера, продвинутые взломщики паролей могут предугадывать знаки пунктуации и заглавных букв, которые здесь не тестируются. Избегайте использования предсказуемых изменений словарных слов, например, заменяя 4 на A или $ на S.Эти шаблоны находят свое отражение во все более сложных наборах правил, словарях и комбинациях, используемых современными хакерами, а также во все большем количестве просочившихся и взломанных списков паролей.
Зачем нужны надежные уникальные пароли
Надежные и разнообразные пароли — лучшая защита от хакеров и других неавторизованных пользователей, пытающихся получить доступ к вашим учетным записям в Интернете.Хакеры могут использовать сложные инструменты, чтобы угадывать возможные комбинации символов для взлома пароля.
В прошлом, когда «грубый подбор» пароля просто означал попытку каждой возможной комбинации букв и цифр до тех пор, пока программное обеспечение не обнаружит правильную последовательность. Это потребовало много времени и вычислительной мощности, поэтому хакерам было полезно взламывать только самые простые и короткие пароли.
Однако в настоящее время программы для взлома паролей намного более продвинуты.Он значительно сужает возможные буквенно-цифровые комбинации, анализируя и вводя общие шаблоны, экономя время и ресурсы хакеров. Продвинутые взломщики паролей могут предугадывать знаки пунктуации и использования заглавных букв на основе постоянно улучшающихся наборов правил, словарей и растущего числа просочившихся и взломанных списков паролей.
Как создавать надежные пароли
Для борьбы с этими достижениями сегодняшние пароли нуждаются в следующих характеристиках:
- Рекомендуется минимум 12 символов, минимум 8
- Комбинация прописных и строчных букв, цифр и символов
- Достаточно случайны, чтобы не содержать предсказуемой последовательности
Этот инструмент выполняет все вышеперечисленное за один простой шаг.Вы можете сгенерировать столько паролей, сколько захотите.
И, скорее всего, вам понадобится несколько. Эксперты рекомендуют уникальный пароль для каждой учетной записи. Даже если у вас есть надежный пароль, он все равно может быть передан хакерам в результате взлома без вашего ведома. Если вы используете один и тот же пароль для нескольких учетных записей, все эти учетные записи будут подвержены риску.
Менеджеры паролей
Запомнить все эти пароли — непростая задача.Если вам сложно их все запомнить, попробуйте использовать менеджер паролей. Менеджер паролей — это часть программного обеспечения, обычно приложение или расширение браузера, которое надежно хранит все ваши пароли в зашифрованном формате. Всякий раз, когда вам нужно войти на веб-сайт, вам просто нужно ввести один мастер-пароль, и менеджер паролей введет соответствующий сохраненный пароль от вашего имени.
2SV и 2FA
Наконец, мы рекомендуем вам включить двухэтапную аутентификацию (2SV) или двухфакторную аутентификацию (2FA) для всех учетных записей, которые их поддерживают.Эти меры безопасности требуют, чтобы любой, кто входит в одну из ваших учетных записей с нового или незнакомого устройства, подтвердил свою личность каким-либо альтернативным способом. Двухэтапная проверка обычно включает отправку одноразового PIN-кода с истекающим сроком действия на вашу электронную почту, SMS или приложение для проверки подлинности (Google Authenticator, Authy и др.). 2FA включает в себя такие технологии, как смарт-карты, Yubikeys и биометрическое сканирование.
Подробнее: Что такое двухфакторная аутентификация
Подробнее об этом инструменте
Наш создатель паролей полностью реализован на клиентском Javascript, и весь процесс генерации пароля происходит в вашем браузере.Мы ничего не храним и никакие данные не передаются через Интернет.
Весь код, используемый для создания создателя паролей, является нашим собственным, а средство проверки паролей основано на открытом исходном коде. Выбор символов осуществляется с помощью Javascript-метода Math.random (). Если в варианте пароля присутствует слишком мало цифр или символов, снова используется метод Math.random для выбора числового символа для замены нечислового символа в пароле, а затем символы пароля снова перемешиваются с использованием алгоритма, основанного на Математика.случайный. Этот процесс повторяется для символов.
Для паролей длиной не менее 12 символов: После получения строки пароля выполняется проверка надежности. Если проверка не возвращает 100 баллов, пароль создается заново и проверяется снова, пока не будет достигнута оценка надежности 100%.
Проверка 100% надежности не применяется, если сумма минимального количества символов и минимального количества цифр равна сконфигурированной длине пароля.Для паролей длиной менее 12 символов оценка надежности будет ниже, и два пароля одинаковой длины могут иметь разные оценки надежности.
Пользователь может установить минимальное количество цифровых символов, которое должно присутствовать в пароле. Однако будьте осторожны с установкой слишком большого значения, поскольку пароль, содержащий слишком много цифр, на самом деле сделает его слабее. Пользователи также могут установить флажок, чтобы удалить неоднозначные символы, которые в некоторых шрифтах могут выглядеть одинаково.К ним относятся: B8G6I1lO0QDS5Z2.
Напоминаем пользователям, что хакеры могут повезти и угадать даже самый надежный из паролей. Мы не даем никаких гарантий, что пароли, генерируемые этим инструментом, никогда не будут взломаны.
Как проверить надежность пароля с помощью этих бесплатных инструментов
Двухфакторная аутентификация, единый вход и другие инструменты упростили задачу повышения вашей сетевой безопасности, но надежные пароли по-прежнему должны играть ключевую роль в обеспечении безопасности вашей информации.Взлом паролей представляет собой большую угрозу, чем многие думают, а часто используемые пароли с гораздо большей вероятностью будут взломаны.
В этой статье мы расскажем об эффективных бесплатных инструментах для проверки надежности пароля и безопасности ваших учетных записей. Хотя улучшение паролей не может полностью устранить угрозу нарушения безопасности, оно все же будет иметь большое значение для повышения безопасности вашего бизнеса.
Nordpass
Nordpass предлагает бесплатную онлайн-проверку надежности пароля от команды, ответственной за NordVPN.
Помимо возможности проверки надежности существующего пароля, Nordpass также предоставляет возможность разработки новых паролей. Кроме того, пользователи могут импортировать свои старые пароли и безопасно делиться учетными данными с друзьями, членами семьи и коллегами. В то время как другие функции доступны только через приложение, средство проверки надежности пароля доступно на веб-сайте Nordpass.
Nordpass проверяет длину и сложность вашего пароля, а также ищет его при предыдущих взломах. (Изображение предоставлено Nordpass)
Nordpass оценивает каждый пароль, проверяя несколько основных элементов: длину (не менее 12 символов), строчные и прописные буквы, символы и цифры. Он также оценивает, сколько времени потребуется для взлома пароля, и определяет, был ли он скомпрометирован в результате предыдущих утечек данных.
Вы можете проверить надежность своего пароля, не загружая приложение или даже не создавая учетную запись, что делает Nordpass чрезвычайно удобным. Он также предоставляет всю информацию, необходимую для определения того, является ли пароль достаточно безопасным.
Университет Иллинойса в Чикаго. Тест на надежность пароля
Академический вычислительный и коммуникационный центр UIC предлагает надежную программу проверки надежности паролей, которая также предоставляет различные передовые методы для надежных паролей. Хотя его анализ более сложен, он также дает вам более глубокое представление о сильных и слабых сторонах данного пароля.
UIC проверяет каждый пароль, используя множество критериев, включая вычеты за повторение одного и того же символа или типа символа. (Изображение предоставлено Университетом Иллинойса в Чикаго)
Как и Nordpass, UIC не просит пользователей регистрироваться. Проверка надежности пароля выполняется на вашем собственном компьютере, поэтому ваша информация никогда не отправляется в Интернет.
Одним из преимуществ услуги является то, что она показывает точное действие каждого аспекта вашего пароля. Он также выделяет такие факторы, как повторяющиеся символы, которые другие средства проверки надежности паролей могут не учитывать. С другой стороны, UIC не отображает примерное «время до взлома», так как считает эти расчеты ненадежными.
Kaspersky
Kaspersky — это компания, занимающаяся кибербезопасностью, которая предлагает VPN, антивирусное программное обеспечение и другие продукты. Его менеджер паролей также является отличным способом отслеживать ваши пароли. Инструмент проверки надежности пароля Kaspersky доступен на его веб-сайте, и вам не нужно регистрироваться или загружать что-либо, чтобы проверить пароль.
В отличие от UIC, Kaspersky использует простой интерфейс и предлагает только основную информацию о надежности вашего пароля. Тестовый пароль был помечен как «обычный или словесный», а простое добавление восклицательного знака делало его «устойчивым к взлому» паролем без дополнительной информации, кроме расчетного времени для взлома.Но Kaspersky действительно ищет ваш пароль в прошлых утечках данных, чтобы подтвердить, что он еще не был взломан.
Kaspersky не обеспечивает такой же уровень детализации, как UIC или другие инструменты для повышения надежности пароля. (Изображение предоставлено Kaspersky)
Наряду с инструментом проверки надежности пароля на веб-сайте Kaspersky есть базовые часто задаваемые вопросы о создании паролей и их проверке в Интернете. Он также содержит советы по сетевой безопасности, такие как включение двухфакторной аутентификации и мониторинг истории входа в систему.
Comparitech
Как и Kaspersky, Comparitech специализируется на услугах безопасности, предоставлении виртуальных частных сетей, антивирусном программном обеспечении, резервном копировании в облаке и многом другом. Проверка надежности пароля вместе с генератором паролей доступна всем посетителям веб-сайта Comparitech.
Подобно UIC, Comparitech имеет отказ от ответственности, разъясняющий, что любые введенные пароли обрабатываются только локально. Другими словами, ничего, что вы вводите в поле пароля, никогда не будет отправлено онлайн. Интересно, что есть еще один отказ от ответственности, указывающий на то, что инструменты надежности пароля по своей природе ограничены и никогда не могут окончательно проанализировать безопасность данного пароля.
Comparitech никогда не передает и не хранит информацию, введенную при проверке надежности пароля. (Изображение предоставлено Comparitech)
Помимо расчетного времени взлома, Comparitech также предоставляет основную информацию о надежности вашего пароля. Например, в нем было указано, что наш тестовый пароль содержит слово из словаря, не очень длинный и не содержит никаких символов, кроме цифр и букв.
Хотя Comparitech не доходит до UIC в плане детального анализа вашего пароля, он все же выявляет любые явные недостатки.Вы также можете воспользоваться генератором паролей или советами под инструментом, если хотите разработать более эффективные пароли.
LastPass
LastPass — один из самых популярных менеджеров паролей с приложениями, доступными как для устройств Android, так и для iOS. Инструмент проверки надежности пароля доступен бесплатно на его веб-сайте и не хранит и не передает какие-либо ваши данные.
LastPass оценит общую надежность вашего пароля и определит возможности для улучшения. (Изображение предоставлено: LastPass)
После ввода пароля LastPass предоставит общую оценку вместе с конкретными советами, которые помогут вам выполнить дальнейшую оптимизацию.Он определил, что наш тестовый пароль слишком короткий, содержит слово из словаря или известный пароль и не содержит символов.
К сожалению, LastPass не проверяет ваш пароль в прошлых взломах, поэтому нет немедленного способа узнать, был ли он уже идентифицирован. Это важный шаг в процессе проверки надежности пароля, поэтому не забудьте проверить эту информацию перед окончательной установкой любых новых паролей.
Заключение
Все мы знаем общие передовые методы работы с паролями — чем длиннее, тем лучше, числа и символы важны, а словарные слова, как правило, слабее, — но бывает сложно распознать все потенциальные недостатки в наших собственных паролях.Эти сайты помогут вам избежать использования уязвимых паролей и защитить вашу информацию от хакеров и других злоумышленников.
Бесплатный измеритель надежности пароля | Энзойная
Этот сайт предназначен только для ОБРАЗОВАТЕЛЬНЫХ ЦЕЛЕЙ .
Ваш пароль будет безопасно отправлен на серверы Enzoic, чтобы проверить, не взломан ли он. Мы не храним ваш пароль и не используем его для каких-либо других целей. Если вас это не устраивает, не вводите свой настоящий пароль.
Что это?
Password Check — это бесплатный инструмент, который позволяет определить не только надежность пароля (насколько он сложен), но и то, известно ли о его взломе. Миллиарды пользовательских паролей были раскрыты хакерами в Интернете и даркнете за эти годы, и в результате их использование более небезопасно. Таким образом, даже если ваш пароль очень длинный и сложный, а значит, очень надежный, он все равно может быть плохим выбором, если он появится в этом списке взломанных паролей.Это то, что инструмент проверки пароля был разработан, чтобы рассказать вам, почему он превосходит традиционные средства оценки надежности пароля, которые вы можете найти в других местах в Интернете.
Зачем это нужно?
Если вы используете один из этих взломанных паролей, это подвергает вас дополнительному риску, особенно если вы используете один и тот же пароль на каждом посещаемом вами сайте. Киберпреступники полагаются на тот факт, что большинство людей повторно используют одни и те же учетные данные для входа на нескольких сайтах.
Почему это безопасно?
Эта страница, как и весь наш бизнес, существует для того, чтобы сделать пароли более безопасными, а не менее.Несмотря на то, что ни одна подключенная к Интернету система не может быть гарантированно защищена, мы сводим риски к абсолютному минимуму и твердо уверены, что риск неосознанного использования скомпрометированных паролей намного выше. Поскольку наша база данных скомпрометированных паролей намного больше, чем то, что может быть загружено в браузер, проверка скомпрометированного пароля, которую мы выполняем, должна происходить на стороне сервера. Таким образом, нам необходимо отправить хешированную версию вашего пароля на наш сервер. Чтобы защитить эти данные от перехвата, они отправляются через SSL-соединение.Данные, которые мы передаем на наш сервер, состоят из трех несоленых хэшей вашего пароля с использованием алгоритмов MD5, SHA1 и SHA256. Хотя несоленые хэши, особенно с использованием MD5 и SHA1, НЕ являются безопасным способом хранения паролей, в данном случае это не их цель — SSL защищает передаваемый контент, а не хэши. Многие пароли, которые мы находим в Интернете, не являются открытым текстом; это несоленые хэши паролей. Поскольку мы не занимаемся взломом хэшей паролей, нам нужно отправить эти хэши для более полного поиска.Мы не храним никаких представленных данных. Он не сохраняется в файлах журнала и хранится в памяти только на время, достаточное для выполнения поиска, после чего память обнуляется. Наша серверная инфраструктура защищена от проникновения с помощью стандартных инструментов и методов, регулярно тестируется и проверяется на работоспособность.
Подробнее…
.