Придумываем стойкий к взлому пароль. Практические рекомендации

03.05.2019

Эксперты по компьютерной безопасности из Кембриджского университета проанализировали структуру более 70 млн. паролей. И выяснили то, что самые сложные пароли в мире составляют пользователи из Германии и Кореи. Причём делают они это непринуждённо и естественно, без специальной подготовки. А секрет устойчивости комбинаций кроется в специфике их языка. Они применяют те же латинские символы, те же цифры, но берут за основу свои родные «трудные» слова - имена, топонимы, термины и т.д. Например, Annaberg-Buchholz#122. Придумать, запомнить эти варианты легко, а вот подобрать на порядок сложней по сравнению со словарными словами других языков.

Если вы, уважаемый читатель, не знаете корейского или немецкого, это, конечно же, не значит то, что вы должны игнорировать сложные пароли. Они являют залогом безопасности ваших данных в интернете (в платёжных онлайн-системах, на сайтах, форумах). Эта статья расскажет вам, каким должен отвечать требованиям ключ для доступа в аккаунт (какой он должен быть) и как его создать.

Определение сложности

Сложность ключа - мера устойчивости к подбору на символьном уровне посредством ручных и автоматизированных методов (логического вычисления, подбора по словарю). Она определяется количеством попыток взломщика, то есть, сколько ему понадобится времени на вычисление составленной пользователем комбинации.

На сложность пароля влияют следующие факторы:

Количество символов в ключе. Чем больше знаков в последовательности, тем лучше. У комбинации из 5 знаков есть большая вероятность быстрого взлома. А вот на подбор последовательности из 20 знаков могут уйти годы, десятилетия и даже века.
Чередование прописных и строчных литер. Примеры: ключ dfS123UYt с использованием регистра заглавных букв на порядок сложней этой же комбинации, но только с маленькими литерами - dfs123uyt.
Символьные наборы. Разнообразие типов символов усиливает устойчивость. Если сделать ключ из маленьких и больших букв, цифр и спецсимволов длиной в 15-20 знаков, шансов его подобрать практически нет.

Как составлять устойчивые комбинации?

Нижеследующие способы помогут вам придумать очень сложный символьный ключ, который легко запомнить.

1. Создайте визуально контуры геометрической фигуры или какого-либо предмета на клавиатуре вашего компьютера. А затем наберите символы, по которым проходят линии.

Внимание! Избегайте простых «конструкций» - линии, квадраты или диагонали. Их легко предугадать.

2. Составьте сложное предложение, не поддающееся логике. Другими словами, какой-нибудь каламбур:

Например: Кот Васька на Юпитере уловил щуку.

Затем возьмите первые 2-3 буквы каждого слова из придуманного предложения:
Кот + Ва + На + Юп + ул + щук

Наберите слоги латинскими буквами:
Rjn + Df + Yf + >g + ek + oer

После транслитерации вставьте между слогами какие-нибудь хорошо знакомые вам числа: дату рождения, рост, вес, возраст, последние или первые цифры телефонного номера.
Rjn066Df 45Yf 178>g 115ek1202oer

Вот и всё! Как видите, получилась довольно «крепкая» комбинация. Чтобы вспомнить её быстро, вам нужен только ключ (предложение-каламбур) и используемые цифры.

3. Возьмите за основу 2 памятные даты. К примеру, два дня рождения (ваше и вашего любимого человека).
12.08.1983 05.01.1977

Разделите число, месяц и год какими-нибудь спецсимволами:
12|08/1983|05\01|1977

Теперь нули в датах замените маленькой буквой «o».
12|o8/1983|o5\o1|1977

Получается довольно замысловатый ключ.

4. Сделайте специальную таблицу: по вертикали и горизонтали матрицы расположите латинские буквы и цифры, а в строчках и столбцах - символы в хаотичном порядке.

Для генерации ключа возьмите несколько простых слов, записанных английскими буквами, например, my password very strong

Возьмите первую пару букв. В нашем случае это «my». В вертикальном списке найдите «m», в горизонтальном «y». На пересечении линий вы получите первый символ пароля.

Таким же образом, посредством следующих пар, найдите остальные символы ключа.

Если забудете пароль, для его восстановления воспользуйтесь простым ключевым словом и таблицей.

Как проверить устойчивость пароля?

Устойчивость символьной комбинации к подбору можно узнать на специальных веб-сервисах. Рассмотрим наиболее популярные:

Онлайн-служба от антивирусной лаборатории Касперского. Определяет по символьному набору и длине ключа, сколько понадобится времени на его взлом на различных компьютерах. После анализа последовательности в статистике отображается время для поиска на ZX-Spectrum (легендарной 8-ми битной машине 80-х), Mac Book Pro (модели 2012 года), суперкомпьютере Tianhe-2 и в сети ботнетов Conficker.

Онлайн-утилита на огромном сервисном портале 2IP.ru. После отправки ключа на сервер, выдаёт его статус (надёжный, ненадёжный) и время, затрачиваемое на его взлом.

У любого пользователя есть любимые сайты: там он общается, играет, смотрит видео, слушает музыку. Кто-то совершает покупки в интернете. Конечно, для удобства пользователя регистрируются на сайтах, чтобы иметь персональный доступ к определенным услугам. Один из наиболее важных атрибутов любой учетной записи - это, конечно, пароль. Как проверить надежность пароля, его сложность - я расскажу в сегодняшней статье!

Итак, в интернете существует один очень удобный сервис проверки надежности вашего пароля. Он так и называется .

Внимание! Алгоритм проверки пароля на сложность не подразумевает воровства Ваших паролей!

Все, что Вам нужно - просто ввести пароль в форму и узнать , через какой промежуток времени можно подобрать Ваш пароль. Кроме того, внизу Вы сможете увидеть подсказки по формированию пароля:

пароль должен быть средним\длинным - не менее 8-10 символов
желательно использовать различные символы, буквы и цифры в пароле вперемешку
нежелательно использовать комбинации букв и цифр, которые идут подряд на клавиатуре

Для примера, пароль администратора сайта сайт вот такой:

Надеюсь, Ваши пароли теперь будут не менее надежными и не оставят никаких шансов злоумышленникам! Удачи!

Похожие новости:

Работа с дисками

Проверка пароля на надежность необходима, когда вы не уверены или сомневаетесь в его сложности и достаточной безопасности. К счастью, для этого существуют онлайн-сервисы, позволяющие проверить насколько надежен тот или иной пароль. Об этом по-подробнее.

Для чего проверять надежность пароля?

На самом деле проверка пароля на надежность необходима в первую очередь тем, кто не знает какими должны быть пароли. В статье были даны советы по созданию сложных, практически невзламываемых паролей. 3 онлайн-сервиса, рассмотренные в этой статье, помогут вам создать такой пароль.

Как проверить сложность пароля?

Существуют онлайн-сервисы, которые позволяют проверить сложность пароля, а также сколько требуется времени для его подбора злоумышленниками. Мы сегодня рассмотрим 3 таких сервиса, заслуживающих наибольшего внимания.

Сервис №1.

Данный сервис, как вы уже догадались, наверное, от Лаборатории Касперского, называется он - «Спасаем мир словом ». Сервис этот помогает создавать надежные пароли путем проверки их на сложность.

Сервис показывает, что данный пароль взламывается за 1 секунду. Так и есть, даже с помощью брутфорс (программа для подбора паролей) данный пароль переберут быстрей чем вы скажете «Ой!».

А вот более сложный пароль с использованием , цифр, и букв разного регистра:

Такой пароль будет очень сложно подобрать, в общем пароль надежный и в какой-то степени невзламываемый (неподбираемый).

Как видите сервис показывает за какое время могут взломать тот или иной пароль на различных компьютерах, это - ZX Spectrum (80-х годов), Mac Book Pro (2012), Тьяньхе-2 (суперкомпьютер, разработанный в Китае), а также с использованием сети компьютеров (ботнет).

Сервис №2.

Следующий сервис проверки надежности пароля от Microsoft. Находится он по этому адресу.

Здесь все просто, вводим нужный пароль и программа показывает насколько он надежен. Ничего лишнего. На степень надежности указывают 4 прямоугольника внизу. Один прямоугольник - это очень простой пароль, а четыре зеленых прямоугольника - значит пароль сложный.

Сервис №3.

Третий и последний сервис проверки сложности пароля на сегодня. Сайт так и называется - «Насколько надежен мой пароль? ».

Интерфейс на английском, но ничего страшного. В строке «Password» необходимо ввести пароль и сервис также покажет насколько он безопасный, этот ваш пароль.

На примере выше сервис указывает на то, что пароль хороший (об этом говорит зеленый фон сайта). Если фон сайта красный - то, значит и пароль ненадежный.

Внизу еще можно увидеть примерное время, необходимое для грубого подбора (брутфорс). А также, если пароль введенный вами не является сложным и надежным, то сервис укажет на это и даст советы по созданию более надежного пароля.

Конечно, невзламывамых паролей не бывает, данные сервисы лишь показывают, сколько придется взламывать подборщику (с помощью брутфорс). Но ведь, есть и другие способы взлома - социальная инженерия, использование кейлоггеров без ведома пользователя ПК и так далее. По этому, храните пароли с умом и никому их не передавайте.

Многие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких :

"password" => [ "required", "confirmed", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d])\S*$/", ];
К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1 . С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.

Вот первые два пароля.

А вот два пароля, которые не пройдут проверку на надёжность.

Что же делать? Может, не стоит принуждать к использованию спецсимволов и внедрять всё новые правила, вроде запрета на повтор нескольких символов подряд, использование не одного, а двух-трёх спецсимволов и цифр, увеличение минимальной длины пароля и т д.

Вместо всего этого достаточно сделать простую вещь - просто установить ограничение на минимальную энтропию пароля, и всё! Можно использовать для этого готовый оценщик zxcvbn .

Есть и другие решения, кроме zxcvbn. Буквально на прошлой неделе на конференции по безопасности ACM Computer and Communications Security была представлена научная работа (pdf) специалистов по безопасности из научно-исследовательского подразделения Symantec Research и французского исследовательского института Eurecom. Они разработали новую программу для проверки надёжности паролей, которая оценивает примерное количество необходимых попыток брутфорса, используя метод Монте-Карло . Предлагаемый способ отличается тем, что требует минимальное количество вычислительных ресурсов на сервере, подходит для большого количества вероятностных моделей и в то же время довольно точный. Метод проверили на паролях из базы 10 млн паролей Xato, которые лежат в открытом доступе (копия на Archive.org) - он показал хороший результат. Правда, это исследование Symantec Research и Eurecom носит скорее теоретический характер, по крайней мере, свою программу они не выложили в открытый доступ в каком-либо приемлемом виде. Тем не менее, смысл работы понятен: вместо эвристических правил проверки паролей веб-сайтам желательно внедрить проверку на энтропию.

Пароли - это ключи от ваших виртуальных хранилищ данных в интернете - от аккаунта почты, онлайн игры, личной странички в соцсети и т.д. Конечно же, он должен на 100% отвечать такому критерию, как надёжность. То есть он должен быть устойчив к взлому, или подбору. К сожалению, многие пользователи это простое, но обязательное требование к паролям игнорируют. И в итоге, как правило, становятся жертвами злоумышленников. У них пропадают деньги, конфиденциальные данные, геймплейные достижения и пр.

Известно, что 1% пользователей сети то ли из-за лени, то ли из-за халатности при регистрации предпочитают использовать примитивные комбинации, которые можно подобрать с 3-4 попыток. Примеры - «123456», «qwerty», «mypassword». Это, безусловно, является очень большой глупостью. «Лёгкий» ключ для пользователя является «лёгким» и для взломщика.

Эта статья расскажет вам о том, как составлять надёжные пароли и как проверить их на устойчивость к взлому.

Какой пароль можно назвать надёжным?

Хорошие ключи от учётной записи имеют следующие характеристики:

1. Длина не меньше 10-15 символов (самые устойчивые комбинации и того больше - 20-35 символов).

2. Символьный состав: большие и маленькие английские буквы, цифры, спецсимволы.

3. В комбинации отсутствуют словарные слова (parol, kod, vhod), личные данные (номер телефона, имя, e-mail и т.д.), логические последовательности букв и цифр (1234, 246810, abcdefg).

Чем сложнее, надёжнее комбинация, тем труднее сделать её подбор. Чтобы установить придуманную пользователем последовательность из 12 знаков, может понадобиться свыше 1,5 млн. лет.

Создание сложного ключа

Рядовые пользователи Сети и специалисты по безопасности уже нашли множество правильных ответов-решений на вопрос «Как создать надёжный пароль?». В рамках этой статьи мы познакомимся с тремя наиболее практичными способами.

Способ №1: подмена букв

Не на всех первых мобильных телефонах поддерживался русский язык, и их владельцы отправляли СМС-ки, используя транслитерацию. То есть писали латинскими буквами по-русски, а недостающие литеры заменяли символами. Например: «ч» - «4». Фраза «Что делаешь?», выглядела как «4to delaesh?». Этот же принцип лежит и в основе данного способа составления ключей.

Возьмите какое-нибудь слово или словосочетание, а затем запишите его с использованием «хитрых» обозначений. Вместо пробелов можно использовать в качестве разделителей любые спецсимволы «~», «/», «.» и др. Например, можно придумать такую комбинацию:

«Опасная зона» запишем как «onACHA9I#3OHA».

Как видите, слова мы записали латинскими буквами и вдобавок заменили кое-какие русские литеры. Вместо «п» - «n», «я» - «9I», «з» - «3» (цифра «три»). И поставили разделитель «#» между словами. Вот и получился достаточно сложный вариант. Чтобы разгадать такой тип символьного сочетания, компьютерным злодеям придётся как следует покорпеть.

В помощь таблица символьных обозначений русских букв:

Способ №2: создание «читаемого» ключа в генераторе

1. Откройте в браузере онлайн-сервис - http://genpas.peter23.com/.

2. В опции «Режим работы» клацните радиокнопку «Произносимый пароль… ».

3. Дополнительно включите/отключите символьные наборы для комбинаций ключа и установите его длину.

4. Нажмите кнопку «Генерировать».

5. Выберите наиболее оптимальный вариант из генерированных последовательностей.

6. Разбейте выбранный пароль на фрагменты из 2-3 символов и придайте каждому фрагменту определённый смысл. В такой «логической цепочке» очень легко запомнить самую сложную комбинацию. В качестве примера давайте разберём ключ, созданный в этом генераторе:

Xoh)ohfo1koh

Xoh) - можно прочитать как «Хох» + «смайлик»;
oh - «ох»;
fo1 - пусть это будет какая-то загадочная аббревиатура;
koh - кох - опять вариация начального слога.

Способ №3: добавка спецсимволов в простые слова

1. Возьмите за основу какое-либо хорошо знакомое вам слово:

space2017

2. Придумайте сочетание спецсимволов из 2 или 3 знаков.

«+_&»

3. Добавьте сочетание в начале и в конце слова в зеркальном отображении.

+_&space2017&_+

4. В итоге вы получите достаточно «крепкий» ключ. Безусловно, его нельзя назвать самым устойчивым, однако он легко запоминается и по своей структуре не является примитивным.

Внимание! Перед составлением пароля обязательно ознакомьтесь с требованиями сервиса, на котором регистрируетесь. К примеру, на портале Майл.ру нельзя использовать кириллицу (русские буквы).