Как сделать пароль сложный: Как создать сложный пароль

Как создать сложный пароль

Содержание

  • Введение
  • Методы взлома паролей
  • Логическое угадывание
  • Перебор паролей по словарю
  • Метод грубой силы
  • Использование человеческого фактора
  • Создание сложных паролей
  • Как создать сам пароль
  • Заключение

Введение

Одной из самых существенных проблем, связанных с обеспечением безопасности в организации являются пароли к учетным записям важных пользователей. Даже если вы тщательно спланируете и настроите параметры безопасности групповой политики, включая настройки брандмауэра в режиме повышенной безопасности, развернете антивирусное программное обеспечение и будете поддерживать в обновленном состоянии систему и антивирусное ПО, настроите политики IPSec, развернете сервера защиты доступа к сети, а у учетных записей ваших пользователей будут недостаточно сложные пароли, безопасность всей вашей компании может быть под угрозой.

Разумеется, вы можете, и даже должны, при помощи групповой политики задать ограничение по созданию сложных паролей, установить интервал для блокировки учетной записи в случае неправильного ввода пароля, а также настроить политики аудита для анализа неудачных попыток входа в систему. Но даже пароли, которые операционная система будет считать сложными (то есть длина пароля будет превышать определенное количество символов, пароль будет содержать символы верхнего, нижнего регистра, а также цифры), могут на самом деле оказаться уязвимыми и простыми для злоумышленников, которые будут их взламывать. Именно этот этап обеспечения безопасности вашей компании может оказаться для вас наиболее сложным, так как здесь ваше участие играет лишь посредственную роль, а любое халатное отношение со стороны ваших пользователей может летально сказаться на инфраструктуре всей компании. Другими словами, в этом случае вам нужно постараться заставить ваших же пользователей создавать безопасные пароли, запоминать их, периодически эти пароли менять, а также держать эти пароли при себе, что, по сути, может оказаться намного сложнее, чем спланировать инфраструктуру организации, а также развернуть и поддерживать в рабочем состоянии сервера с соответствующими серверными ролями.

В этой статье я немного расскажу о том по каким причинам какие пароли нельзя создавать, а также как именно нужно создавать пароли для своих учетных записей. Рассмотрим все по прядку.

Методы взлома паролей

К одному из наиболее распространенных методов атаки на любую инфраструктуру можно отнести взлом паролей пользователей, которые проходят проверку подлинности для того чтобы можно было получить доступ к внутренней сети организации. Соответственно, если злоумышленник получит доступ к учетной записи пользователя, у него будет возможность достучаться до каких-либо внутренних документов компании и к прочей защищенной информации. Помимо учетных записей пользователей для доступа к внутренней сети организации, также часто злоумышленники стараются взламывать аккаунты электронной почты, социальных сетей, блогов и прочего. Поэтому пользователям следует объяснить, что нельзя для всех своих учетных записей использовать одинаковый пароль, а уж тем более простой пароль.

В принципе, существует много методов взлома паролей, но в этой статье будут вкратце рассмотрены лишь основные методы, которые наиболее распространены в наше время. К этим методам можно отнести логическое угадывание, перебор паролей по словарю, метод грубой силы (или полный перебор), а также самый серьезный метод – использование человеческого фактора.

Логическое угадывание

Этот метод является самым простым, и начинают обычно именно с логического угадывания пароля. Например, злоумышленник может попробовать угадать пароль ваших пользователей, зная имя, фамилию вашего пользователя и, скажем, его год рождения. Например, если пользователь создаст пароль типа «Фамилия + год рождения» или логин, указанный в обратном порядке, можно особо не волноваться, такой пароль будет взломан через несколько минут.

Перебор паролей по словарю

Так как многие пользователи в качестве паролей любят указывать к какой-либо своей учетной записи одно слово, будь то название вулкана в Исландии или имя любимого кролика и, максимум, добавлять к такому паролю одну цифру, злоумышленники могут взломать такой пароль, используя заранее отобранные пароли, которые загружаются из специальных словарей. В такие словари обычно включаются слова из разных языков, которые могут использовать неопытные или безразличные к своей безопасности пользователи. Подбор пароля, используя данный метод, обычно не занимает много времени и злоумышленник сможет получить доступ к данным ваших пользователей буквально через несколько часов. А так как подобных словарей в просторах Интернета очень много, следует сразу объяснять пользователям, что им не следует использовать такие пароли, так как пострадать может не только их учетная запись в социальной сети, а и вся инфраструктура предприятия.

Еще одним методом, связанным с перебором по словарю, называется перебор по таблице хешированных паролей. Этот метод используется тогда, когда злоумышленник смог определить хеши паролей и ему остается лишь найти в базе данных пароль, который будет полностью соответствовать данному хешу.

Метод грубой силы

Метод грубой силы (brute force) или полный (прямой) перебор отличается от предыдущего метода тем, что при подборе пароля используется не определённый словарь, согласно которому можно подобрать простой пароль, а большое количество любых возможных комбинаций. В этом случае, как вы понимаете, все зависит лишь от сложности пароля и количества символов. Думаю, многие из вас видели следующую таблицу, исходя из которой, можно приблизительно оценить сложность создаваемых паролей, если учесть что в паролях будут только лишь буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду:














Количество знаков

Количество вариантов

Время перебора

1

36

менее секунды

2

1296

менее секунды

3

46 656

менее секунды

4

1 679 616

17 секунд

5

60 466 176

10 минут

6

2 176 782 336

6 часов

7

78 364 164 096

9 дней

8

2,821 109 9?1012

11 месяцев

9

1,015 599 5?1014

32 года

10

3,656 158 4?1015

1 162 года

11

1,316 217 0?1017

41 823 года

12

4,738 381 3?1018

1 505 615 лет

Соответственно, более-менее стойким паролем можно считать пароль, длина которого будет состоять не менее чем из восьми символов. Так как при написании этой статьи, основной задачей стояло рассмотрение методов создания стойких паролей, в ней не будут рассматриваться средства реализации перебора паролей методом грубой силы.

Использование человеческого фактора

Несмотря на то, что при использовании человеческого фактора не применяется какая либо технология, этот метод в большинстве случаев считается самым действенным и иногда даже самым быстрым, так как в этом случае злоумышленники получают пароли незаконным методом от самих пользователей, причем, последние об этом могут даже не подозревать. Прежде всего, при использовании этого метода получения пользовательских паролей злоумышленник обычно узнает имена сотрудников организации, которые он может, как знать изначально, так и найти на том же, скажем, веб-сайте компании, а уже после этого, согласно продуманному заранее сценарию злоумышленник может получить от пользователей практически любые данные. Методов получения пользовательских паролей, используя человеческий фактор, очень много. Вкратце рассмотрим основные способы:

· Фишинг. Является довольно распространенным методом получения от пользователей необходимой информации. Сам термин фишинг (phishing) происходит от английского слова fishing, что переводится как рыбная ловля и представляет собой вид мошенничества, основной задачей которого является получение доступа к конфиденциальным данным пользователей. Сама атака происходит следующим образом: пользователю на почтовый ящик приходит письмо, скажем, от банка, где пользователю предлагают, перейдя по предоставленной ссылке, в целях обеспечения безопасности сменить на сайте свой пароль. На самом деле, такая ссылка ведет на сайт хакера со страницей, которая очень похожа на страницу банка и при попытке смены своего пароля, пароль будет отправлен злоумышленнику;

· Заражение компьютеров средствами троянских коней. Как вы знаете, троянским конем называется вредоносная программа, которая распространяется злоумышленниками, при помощи которой он может получить доступ данным, в зависимости от того, какую он поставил перед собой задачу. В свою очередь, пользовательские пароли не являются исключениями;

· Кви про кво. Данный метод пошел от латинского выражения qui pro quo (одно вместо другого), что также обозначает недоразумение, возникшее в результате того, что одно лицо, вещь или понятие принято за другое. В случае с хищением паролей, этот способ подразумевает звонок злоумышленников в компанию. Злоумышленник может представиться техническим специалистом и узнать о уязвимостях, которые могут быть в организации и воспользоваться ими. Или же просто узнать пользовательский пароль по телефону ;

· Претекстинг. Этот способ самый простой. По большому счету, используя данный метод хищения пароля, злоумышленник, может быть даже, в какой-то степени, далек от хикинга, так как в данном случае, выполняются действия, отработанные по заранее составленному претексту или, проще говоря, сценарию. Он может начать общаться с пользователем на каком-то веб-сайте, средствами переписки по электронной почте, UIM-мессенджерам и т. д. По вполне понятным причинам, данный метод может занять значительно больше времени, чем все указанные раньше, но, тем не менее, он тоже востребован.

Простейший метод хищения пароля изображен на следующей иллюстрации:

Создание сложных паролей

Скорее всего, вы все видели следующую картинку.

Здесь довольно-таки в простой и шуточной форме нарисовано, какие пароли можно создавать и как с такими паролями будут взаимодействовать ваши пользователи. Если честно, то с методом, который указан на картинке можно не согласиться, так как второй пароль может быть быстрее взломан, чем первый, хоть на это и уйдет у злоумышленника какое-то время.

Прежде всего, как я уже говорил в начале статьи, в любом случае вам нужно настраивать ограничения по созданию сложных паролей при помощи групповой политики, причем, привязывать такие политики следует не для какого-то конкретного подразделения, а для всего домена. Разумеется, настроив политики безопасности, вы предотвратите создание паролей типа «123456» или «qwerty», которые так любят указывать пользователи, пользовательские пароли могут быть все равно уязвимыми для хакеров.

Например, если у вас в отделе продаж есть пользователь Владимир, который родился 9-го числа какого-то месяца, его паролем вполне может быть что-то вроде «Vladimir9». Как видите, длина такого пароля девять символов, что, скорее всего, будет превышать предустановленную средствами групповой политики длину пароля. Помимо этого, в данном пароле есть буквы из разного регистра (ну негоже ведь, свое имя указывать с маленькой буквы ) и в данном пароле есть цифры (в указанном случае, день рождения пользователя). Соответственно, пароль будет удовлетворять требованиям, указанным при помощи групповой политики, но взломать его можно буквально в считанные секунды.

Вам нужно постараться убедить своих пользователей создавать для любых своих учетных записей сложные пароли, создавать разные пароли для каждой учетной записи, а также хранить свои пароли у себя в памяти. Последние два момента являются наиболее сложными, так как большинство пользователей привыкло иметь один пароль для своей учетной записи в Active Directory, а также, хорошо, если так, иметь один пароль на почтовые ящики, социальные сети, трекреы, форумы и так далее. Если вы все таки заставили своих пользователей создать сложный пароль, обратите внимание на то, что многие любят записывать его на бумажке и клеить к своему монитору, на клавиатуру и т.п., что является недопустимым, так как это уже паролем назвать сложно.

Как создать сам пароль

Желательно, чтобы пользовательский пароль был не менее чем из 8 символов, причем, чтобы в пароле в произвольном порядке были написаны буквы латиницей в разных регистрах, пароль содержал цифры и, чтобы там еще были специальные символы. Если пароль создается для учетной записи, которая будет выполнять вход на сервер, то желательно создавать пароли, длина которых будет превышать 12 символов. В большинстве случаев, пользователи редко заморачиваются придумыванием таких паролей. Поэтому, вам нужно будет или вместо них придумывать пароли, что крайне неудобно, т.к. если у вас 20 пользователей, это займет какое-то время, но вы с этим справитесь, но если у вас более 100 пользователей, то на такое бессмысленное занятие уйдет целый день. А их ведь еще нужно периодически менять, т.к. ни один пароль не может быть совершенным.

Поэтому вы можете или направлять пользователей на сайты с генераторами паролей, например, на сайт http://genpas.narod.ru или на сайты с подобным функционалом. Таких сайтов на самом деле очень много. Также вы можете на своем внутреннем веб-сервере написать страницу, которая будет предоставлять такой же функционал, что тоже вряд ли займет много времени, даже если у вас нет навыков в веб-программировании. А о наличии такой страницы на сайте вы можете уведомить пользователей, скажем, при помощи официальной рассылки. Соответственно, вашим пользователям не нужно будет тратить время на то, чтобы придумать сложный пароль, а останется лишь его запомнить.

Также вы можете рассказать своим пользователям о простых сценариях, позволяющих создать сложный, но легко запоминающийся пароль. Различных интересных сценариев можно придумать сотни. Рассмотрим несколько таких сценариев.

1. Возьмите два русских слова – глагол и имя существительное. Например, слова «готовить» и «подсвечник». Добавьте произвольное число, которое будет разделено на две части, например, год рождения любимого писателя, скажем, 1966, а также возьмите любой специальный символ, пусть будет, например, знак вопроса. Теперь запишите все, что нашли ранее в следующем порядке: первое слово с большой буквы, первые две цифры из года рождения, знак вопроса, второе слово с большой буквы и последние две цифры. Должно получиться что-то в этом роде: «Готовить19?Подсвечник66». теперь наберем полученный пароль на английской раскладке. В результате, у вашего пользователя будет следующий пароль: «Ujnjdbnm19?Gjlcdtxybr66». В таком пароле получилось 23 знака, причем, подобрать его методом перебора по словарю нереально, а используя метод грубой силы у злоумышленника уйдет, мягко говоря, не один месяц.

2. Возьмите любую скороговорку, например, «В недрах тундры выдры в гетрах тырят в ведра ядра кедров» и возьмите дату рождения двоюродной тети пользователя, скажем, 29 октября 1957. Теперь запишите каждую первую букву каждого слова на английском языке, причем, запишите каждую вторую букву в верхнем регистре и между некоторыми словами проставляйте по одной цифре, а в конце пароля поставьте знак восклицания. Должно получиться следующее: «vN2tV9vG10tV19vY57k!». Опять же, такой пароль подобрать будет очень сложно.

3. Возьмите любую строку самого любимого стихотворения, например, «Недаром помнит вся Россия про день Бородина!» и запишите по две буквы из каждого слова на английской раскладке, причем, для каждого нового слова укажите букву в верхнем регистре. В конце можете поставить день своего рождения. Например, в данном случае должно получиться следующее: «YtGjDcHjGhLt<j!24». получен еще один сложный пароль.

4. Возьмите сложное слово, которое вы помните, но чтобы это слово не часто использовалось в разговорной речи. Например, возьмем слово, которое стыдно не знать, а именно название вулкана, который извергался в Исландии в 2010 году, а именно: Эйяфьядлайёкюдль. В этом слове 16 букв, поэтому вставим после 8-й буквы год события, т.е. 2010 и напишем все слова, как и в предыдущих примерах на английской раскладке. Получим следующий сложный пароль: «”qzamzlk2010fq`r.lkm».

Разных интересных сценариев можно еще придумать очень много. Самое главное то, что такие пароли не сложно запомнить и они считаются сложными.

Проверить сложность созданного пароля можно многими способами. Например, у компании Microsoft есть средство проверки паролей, которое позволит вам узнать, насколько надежным получился сгенерированный вами пароль. Для этого перейдите на страницу средства проверки паролей и в соответствующем текстовом поле введите свой пароль. Вы сразу получите уведомление, в котором будет указан тип сложности вашего пароля. Пример этого средства показан на следующей иллюстрации:

Заключение

В этой статье было рассказано о методах взлома пользовательских паролей, а также о том, как можно создать сложный для взлома пароль, но который будет довольно простым для запоминания. Я надеюсь, что при помощи указанных в этой статье четырех простых примеров у вас получится научить своих пользователей следить за сохранностью своих данных и создавать сложные пароли. А какие сценарии для генерирования сложных паролей применяете Вы?



Проверенный способ создать запоминающийся, но сложный пароль

Итак, типичная ситуация: у вас заведены почтовые ящики на 3 разных сервисах, зарегистрированы аккаунты в 3 разных соцсетях (Вконтакте, Инстаграм, Одноклассники), есть еще множество интернет-магазинов и прочих сайтов, где вам пришлось создать личный кабинет. 

Мы уже неоднократно писали, что использовать везде один и тот же пароль просто опасно. Если вы не читали эту статью, сделайте это прямо сейчас. 

  • Эксплуатация

    Почему не стоит использовать один пароль для нескольких ресурсов?

С другой стороны, удерживать в уме с десяток разных паролей тоже крайне сложно. Как быть? Рекомендуем воспользоваться вот такой методикой. 

Шаг 1: любимое слово

Итак, все наши пароли могут начинаться одинаково. Поскольку их нужно вводить латиницей, выберите одно любимое слово, при этом не собственное имя и не название аккаунта (многие сервисы будут против таких комбинаций). Скажем, пусть это будет rabbit (кролик). 

Шаг 2: название сервиса

Следующая часть пароля должна отличаться от сервиса к сервису. И ей может быть… название сервиса. Например, yandex для аккаунта на Яндекс или mail, соответственно, для mail.ru. Если вам лень набирать длинные слова, можете ограничиться несколькими первыми буквами – например, yand.

Шаг 3: контрольная сумма

Многие сайты просят использовать и буквы, и цифры. На этот случай нам понадобится еще одна часть пароля – цифровая. В качестве цифры можно использовать, например, количество букв в предыдущей части (названии сервиса). То есть для Яндекса это 6, для mail. ru это 4. Как вариант — количество гласных или согласных. 

Шаг 4: правило написания

Опять-таки сервисы могут попросить использовать и строчные, и заглавные буквы. Настала пора объединить все наши части, заодно придумав правило их написания. Например, каждая часть пишется с большой буквы. На всякий случай лучше добавить в конце какой-нибудь символ — скажем, «!». Использование символов тоже может быть требованием сервиса. Итого, вот какие пароли получаются у нас для Яндекса и mail.ru: 

  • RabbitYandex6!

  • RabbitMail4!

Как видите, пароли довольно сложные и сильно отличаются. При этом, если вы запомните принцип их формирования, то сможете восстановить в памяти любой. Например, к Фейсбук: RabbitFacebook8! Главное – не забыть первое слово. 

  • Срочно проверьте себя: эксперты назвали самые небезопасные пароли 2019

Это лишь один из вариантов создать надежный пароль и легко его запомнить. Конечно, каким бы уникальным и длинным он ни был, лучше взять за правило менять комбинацию хотя бы раз в год. Можно сделать это разными способами — к примеру, заменить первое слово или поставить его после второго. О том, зачем это сделать, мы тоже уже рассказывали. 

Интернет-безопасность: создание надежных паролей

Урок 2: создание надежных паролей

/en/internetsafety/introduction-to-internet-safety/content/

Создание надежных паролей

Вам потребуется создать пароль для делать почти все в Интернете, от проверки электронной почты до онлайн-банкинга. И хотя проще использовать короткий, легко запоминающийся пароль, он также может представлять серьезные риски для вашей онлайн-безопасности. Чтобы защитить себя и свою информацию, вы должны использовать пароли, которые длинное , сильное , и трудное для кого-то еще угадать , сохраняя при этом их относительно для легкого запоминания .

Посмотрите видео ниже от службы безопасности в Канаде, чтобы узнать больше о создании надежного пароля.

Зачем нужен надежный пароль?

В этот момент вы можете задаться вопросом, зачем мне вообще нужен надежный пароль? Правда в том, что хотя большинство веб-сайтов защищены, всегда существует небольшая вероятность того, что кто-то попытается получить доступ к вашей информации или украсть ее. Это общеизвестно как взлом . Надежный пароль — один из лучших способов защитить ваши учетные записи и личную информацию от хакеров.

Советы по созданию надежных паролей

Надежный пароль — это такой, который легко запомнить вам, но трудно угадать другим. Давайте рассмотрим некоторые из наиболее важных вещей, которые следует учитывать при создании пароля.

  • Никогда не используйте личную информацию , такую ​​как ваше имя, день рождения, имя пользователя или адрес электронной почты. Этот тип информации часто находится в открытом доступе, что облегчает подбор вашего пароля.
  • Используйте более длинный пароль . Ваш пароль должен быть длиной не менее шести символов , хотя для дополнительной безопасности он должен быть еще длиннее.
  • Не используйте один и тот же пароль для каждой учетной записи . Если кто-то узнает ваш пароль для одной учетной записи, все остальные ваши учетные записи будут уязвимы.
  • Попробуйте включить цифр, символов и прописных и строчных букв .
  • Избегайте использования слов, которые могут быть найдено в словаре . Например, swim1 будет слабым паролем.
  • Случайные пароли самые надежные . Если у вас возникли проблемы с его созданием, вместо этого вы можете использовать генератор паролей.
Распространенные ошибки при вводе пароля

Некоторые из наиболее часто используемых паролей основаны на семье именах , хобби или просто простом шаблоне . Хотя эти типы паролей легко запомнить, они также являются одними из наименее безопасных. Давайте рассмотрим некоторые из наиболее распространенных ошибок при вводе пароля и способы их исправления.

Пароль: brian12kate5

«Сомневаюсь, что кто-нибудь сможет угадать мой пароль! Это имена и возраст моих детей. Кто еще может это знать?»

Проблема : В этом пароле используется слишком много личной информации, а также общие слова, которые можно найти в словаре.

Решение : Более надежная версия этого пароля будет использовать символы, прописные буквы и более случайный порядок. И вместо того, чтобы использовать фамилии, мы могли бы объединить персонажа из фильма с типом еды. Например, Чубакка и пицца могут стать 9.0009 chEwbAccAp!ZZa .

Пароль: w3St!

«Мой пароль такой простой! Это просто начало моего почтового адреса с несколькими дополнительными символами.»

Проблема : Пароль, состоящий всего из пяти символов, слишком короткий. Он также включает часть ее адреса, которая является общедоступной информацией.

Решение : Более надежная версия этого пароля будет намного длиннее , в идеале более 10 символов. Мы также могли бы заменить ее текущий адрес названием ближайшей улицы. Например, Пемберли-авеню может стать 9.0009 p3MberLY%Av .

Пароль: 123abccba321

«Мой пароль соответствует простой схеме, поэтому его легко запомнить и ввести на моей клавиатуре.»

Проблема : Хотя подобные шаблоны легко запомнить, они также являются одними из первых вещей, которые хакер может догадаться при попытке получить доступ к вашей учетной записи.

Решение : Помните, что случайные пароли намного надежнее простых шаблонов. Если у вас возникли проблемы с созданием нового пароля, попробуйте вместо этого использовать генератор паролей. Вот пример сгенерированного пароля: #eV$pIg&qf .

Если вы используете генератор паролей, вы также можете создать мнемоническое устройство , чтобы упростить запоминание пароля. Например, H=jNp2# можно запомнить как HARRY = jessica NORTH paris 2 # . Это может все еще казаться довольно случайным, но с небольшой практикой становится относительно легко запомнить.

Пароль: BrAveZ!2

«Я использую одинаковые пароли для всех своих учетных записей. Таким образом, мне нужно запомнить только один пароль!»

Проблема : В этом пароле нет ничего плохого, но помните, что вы никогда не должны использовать один и тот же пароль для разных учетных записей .

Решение : Создайте уникальный пароль для каждой из ваших сетевых учетных записей.

Использование менеджеров паролей

Вместо того, чтобы записывать свои пароли на бумаге, где кто-то может их найти, вы можете использовать менеджер паролей для безопасного хранения их в Интернете. Менеджеры паролей могут запоминать и вводить ваш пароль на разных веб-сайтах, что означает, что вам не придется запоминать более длинные пароли. Примеры менеджеров паролей включают LastPass, 1Password и менеджер паролей Google Chrome.

Пароль: m#[email protected]$V

«Я использую генератор паролей для создания всех своих паролей. Их не очень легко запомнить, но это нормально. Я также использую менеджер паролей, чтобы отслеживать их.»

Это отличный пример надежного пароля . Это сильно, долго и трудно для кого-то еще угадать. Он использует более 10 символов букв ( прописных и строчных ), цифр и символы и не содержат очевидной личной информации или общих слов. Этот пароль может быть даже слишком сложным, чтобы запомнить без менеджера паролей , что подчеркивает, почему они так полезны при создании надежного пароля.

Не забывайте использовать эти советы всякий раз, когда вы создаете пароль, чтобы обеспечить безопасность вашей информации в Интернете.

Продолжать

Предыдущий: Введение в интернет-безопасность

Далее:Функции безопасности вашего браузера

/en/internetsafety/your-browsers-security-features/content/

Как создавать более надежные пароли

Ваши пароли настолько надежны, насколько это возможно? Для многих пользователей самостоятельно созданные пароли не так безопасны, как должны быть.

Trustwave, чикагская фирма по информационной безопасности, сообщила в 2013 году, что масштабное нарушение безопасности скомпрометировало почти 2 миллиона веб-сайтов и учетных записей социальных сетей в более чем 100 странах. В результате взлома было украдено 1,58 миллиона учетных данных для входа на веб-сайты и 320 000 учетных данных электронной почты, включая учетные записи Facebook, Google, Twitter, LinkedIn и Yahoo. Также пострадал поставщик услуг по расчету заработной платы ADP.

С тех пор другие взломы затмили это, в том числе 1,5 миллиарда учетных записей Yahoo и 145 миллионов учетных записей пользователей eBay в 2014 году. В 2016 году было взломано 412,2 миллиона учетных записей Adult Friend Finder.

Хотя нарушение Trustwave, вероятно, произошло из-за вредоносного ПО, установленного на отдельных компьютерах, в отчете также проанализированы украденные пароли и обнаружено, что многие пользователи стали небрежными при создании паролей. Несмотря на передовой опыт и советы по безопасности, часто предоставляемые провайдерами учетных записей, два самых популярных украденных пароля — «123456» и «123456789».», — говорится в сообщении. Кроме того, тысячи людей по-прежнему используют такие же простые пароли, как «пароль» и «админ».

Что касается надежности паролей, в отчете говорится, что только 5% украденных паролей были классифицированы как «отличные». В то время как 44 процента паролей считались средней надежностью, 34 процента считались слабыми паролями.

На самом деле, некоторые из тех, кто следует «передовым методам», все еще могут подвергаться риску. Билл Берр, ранее работавший в Национальном институте стандартов и технологий, теперь говорит, что его руководство 2003 года по созданию надежных паролей может быть совершенно неверным. Он сказал Wall Street Journal: «О многом из того, что я сделал, я теперь сожалею». Отчасти это потому, что его совет, возможно, привел к нынешнему состоянию апатии к паролям.

Например, следуя его совету, вы можете создать пароль вида P#ssWrd1? Но это легче догадаться, чем вы думаете. Он также рекомендовал вам менять свой пароль каждые 90 дней, но это привело к тому, что люди стали вносить крошечные постепенные изменения, такие как P#ssWrd2?, что все еще можно угадать и приводит к ложному чувству безопасности.

Однако создание более надежных паролей — не высшая математика. Вот пять способов сделать более безопасные и надежные пароли для лучшей защиты личных учетных записей.

1. Будьте уникальными — избегайте повторного использования паролей

«Никогда не используйте один и тот же пароль для нескольких учетных записей», — сказал Доди Гленн, старший директор по анализу безопасности и исследовательским лабораториям ThreatTrack Security, компании, занимающейся анализом вредоносных программ и антивирусным программным обеспечением. . «Это плохая привычка».

Хотя проще использовать один и тот же пароль для нескольких учетных записей, удобство может привести к экспоненциально большему ущербу в случае взлома, сказал Гленн.

«Например, если вредоносное ПО записывает только информацию об учетной записи Gmail, но один и тот же пароль используется на различных конфиденциальных сайтах, таких как онлайн-банкинг или сайт розничной торговли, киберпреступники могут легко взломать все учетные записи и получить личную информацию (PII ) в гнусных целях», — сказал он.

Чтобы отслеживать пароли, Эдуард Гудман, главный специалист по конфиденциальности Identity Theft 911, написал в своем блоге, что пользователи должны хранить пароли в надежном месте. Гудман рекомендует менеджеры паролей, такие как PasswordBox, LastPass и RoboForm.

2. Будьте изобретательны — используйте необычные, бессмысленные комбинации

Хотя использование имен близких, домашних животных, любимых спортивных команд и других личных данных может помочь пользователям запомнить свои пароли, это также облегчает доступ хакерам их счета.

«Мы можем думать, что мы умны, но с миллиардами пользователей паролей на планете вполне вероятно, что кто-то уже придумал эту комбинацию раньше», — сказал Том Смит, вице-президент по идентификации и доступу в Gemalto, цифровая безопасность провайдер.

По словам Смита, из-за роста числа нарушений безопасности за последние несколько лет — в первую очередь взломов Adobe и Facebook в 2013 году — в базах данных доступны миллионы паролей, которые преступники могут использовать в кибератаках.

«Атака этого типа называется «атакой по словарю» или атакой, при которой пароль систематически ищется среди всех других паролей в «словаре» или в указанном списке существующих паролей», — сказал Смит. По его словам, поскольку эти пароли получены в результате прошлых взломов, их использование увеличивает вероятность того, что так называемый «уникальный» пароль будет снова скомпрометирован.

Чтобы придумать более оригинальные пароли, Гудман посоветовал пользователям «немного встряхнуться». Он писал, что один из способов сделать это — комбинировать прописные и строчные буквы, цифры и символы. Например, пользователи могут превратить простой пароль, например «happy777», в более надежный, например «H@pea!931». Но вы должны избегать общих слов, таких как пароль, в качестве основы. Другой способ — взять лирику, строчку или высказывание и сократить их до аббревиатуры, например, превратить «Это была ночь перед Рождеством и по всему дому» в «TtnbCaatth».

3. Будьте длинными — делайте пароли длинными

Для большинства служб требуется пароль длиной не менее восьми символов. На самом деле пользователям потребуется больше, чтобы иметь действительно безопасный пароль.

«Чем длиннее пароль, тем он сложнее, и киберпреступникам требуется больше времени, чтобы взломать пароль», — сказал Смит. «Типичным эмпирическим правилом было восемь символов, [но] этого уже недостаточно. Как и все в сфере технологий, программы для взлома паролей стали быстрее, а некоторые могут похвастаться способностью угадывать 350 миллиардов раз в секунду, что означает, что они могут взломать 8-символьный пароль за секунды. Чтобы пользователи могли защитить себя, эксперты теперь рекомендуют пароли, содержащие не менее 13–20 символов».

4. Будьте умнее — используйте двухфакторную аутентификацию

Если веб-сайт предлагает двухфакторную аутентификацию, используйте ее — двухфакторная аутентификация добавляет дополнительный уровень защиты, затрудняющий доступ к учетной записи киберпреступникам.

«Многие сайты теперь предлагают двухфакторную аутентификацию или логин, для которого требуется как пароль, так и другая форма идентификации, например код с мобильного устройства», — сказал Гленн.

Другие типы вторичной идентификации включают секретные вопросы, ответы на которые знает только пользователь, личный идентификационный номер (PIN), биометрические данные или физический жетон, прикрепленный к устройству.

«С двухфакторной аутентификацией, даже если злоумышленник украдет пароли пользователей для входа в систему, они не смогут получить доступ к своим учетным записям без второй формы идентификации», — сказал Гленн. «Используйте эту функцию безопасности, когда она доступна».

5. Будьте непредсказуемы — регулярно меняйте пароль

Наконец, существует классическое правило частой смены пароля. Гленн и Гудман рекомендовали менять пароли не реже одного раза в несколько месяцев или ежеквартально соответственно. Но знайте, что это больше не считается общепринятым как необходимое, если вы не были взломаны. Чтобы узнать, доступна ли ваша информация, ознакомьтесь с разделом Have I Been Pwned? где вы можете выполнить поиск по своему адресу электронной почты, имени пользователя или паролю, чтобы узнать, не фигурировали ли они в каких-либо зарегистрированных нарушениях.

Читайте также: