Очень сложный пароль: Самые сложные пароли

Самые сложные пароли

Практически каждый сайт требует регистрации пользователя. А значит, придется придумывать пароль. Использовать одинаковую комбинацию, даже самую сложную, на всех сайтах подряд не очень умно. Многие из небольших порталов хранят комбинации пользователей в незашифрованном виде, и они часто утекают в сеть. Пароли это очень непростое дело, давайте разберемся, как придумать и запомнить самый сложный и надежный пароль.

Рейтинг самых популярных комбинаций

В интернете давно существует рейтинги самых часто используемых комбинаций. По статистике, средняя его длина составляет от 6 до 8 символов.

На первом месте рейтинга — цифровые последовательности и первый ряд букв клавиатуры:

• 123456 и аналогичные.
• Qwerty.
• Password/пароль.
• Abc123.
• Superman, Sp1derm4n и прочие комбинации английских слов и цифр.

Рейтинг самых популярных комбинаций

Сочетания длиной менее 4 символов или цифр Взломать такие последовательности не составит труда. Самым простым способом получить доступ к аккаунту, является взлом методом грубого перебора (брутфорс).

Как взламывают пароли

Для брутфорса существуют программы, в которые загружается список популярных слов и комбинаций (словарь). Такой список можно найти в открытом доступе. Программа подставляет комбинации по очереди, в автоматическом режиме, пока не найдет рабочую последовательность.

Сколько займет подборка комбинации

Подборка пароля из 4 символов не представляет никаких сложностей для злоумышленника. В 2012 году, на конференции по кибербезопасности в Норвегии, была продемонстрирована система, способная подбирать 348 миллиардов хэшей в секунду!

Хэшем называют преобразование информации с помощью определенного алгоритма, что позволяет кодировать, хранить, а затем восстанавливать эту информацию.

Если для хранения кодового слова используются более сложные алгоритмы хэширования, например, комбинации md5, то последовательность из 6 символов (буквы разного регистра + цифры) можно подобрать за 95 минут (скорость около 10 миллионов последовательностей в минуту). А вот для того, чтобы подобрать пароль из 10 символов, потребуется уже более двух с половиной тысяч лет.

Такие значения достигаются в идеальных условиях: без ограничения по количеству попыток, и с максимальной скоростью обмена данными. В реальной ситуации взлом займет гораздо больше времени

Пароли длиной более 10 случайных символов редко взламывают, ведь для этого хакерам потребуется много времени и мощностей, а зачем прилагать такие усилия, если более 10% всех последовательностей – это вариации цифр 12345 и букв qwerty.

Как взламывают пароли

Какие пароли ненадежные

Код, состоящий из букв в одном регистре, взломать крайне легко. Особенно, если это повсеместно используемые слова, названия книг, имена героев или событий.

Усложнения таких комбинаций с помощью дополнительных слов так же будет недостаточно: «Этомойпароль» или «этомойкрутойпароль» будут подобраны за одинаковое время.

Как происходит утечка комбинаций в сеть

В первую очередь взламываются малопопулярные сайты, без серьезной защиты. Хакеры выкладывают взломанные аккаунты в свободный доступ, чтобы внести все комбинации login+password в словари, используя их в соцсетях, платежных системах или почтовых сервисах.

Требования при регистрации

Времена, когда пользователю разрешалось придумать любой пароль при регистрации, прошли. Теперь от него требуют, чтобы код содержал, как минимум, одну заглавную букву, одну цифру и один спец символ. Многих это раздражает, но благодаря такому подходу удается сохранить аккаунты пользователей.

Правила создания паролей

1. Не использовать одну и ту же связку на разных сайтах.
2. Стараться не использовать одинаковые комбинации на разных сайтах.
3. Самые сложные и стойкие комбинации должны использоваться для самых важных сайтов – платежных систем, почтовых аккаунтов, с помощью которых можно сбросить пароли к платежным системам и т.д.
4. Использовать менеджер паролей.

Правила создания паролей

Как придумать стойкий пароль

Очень сложным и самым лучшим считается пароль от 10-12 символов длиной, с использованием заглавных, прописных букв, цифр и спецсимволов:

• L2jh4d61e%Fh – пример сложного и стойкого пароля.
• Superman1 или ivanov007 – эти комбинации подбираются в первую очередь.

Совет

Не стоит использовать пароль, совпадающий с логином. Чтобы украсть аккаунт, такую связку даже не придется взламывать.

Придумать самый лучший и сложный пароль можно несколькими способами:

1. Открыв текстовый редактор, стукнуть по клавишам вслепую. Получившуюся комбинацию можно подкорректировать – поменять прописные буквы на заглавные, добавить спец символы или цифры.
2. При помощи password-генератора
3. При помощи менеджеров паролей. В браузерах Opera, chrome, Яндекс и firefox есть встроенные менеджеры, которые не только хранят их в защищенном виде для каждого сайта, но и позволяют генерировать новые, безопасные комбинации.

Пример сложного пароля

Совет

При генерации паролей следует отказаться от использования осмысленных фраз или слов. Небезопасным будет также замена раскладки – в иностранном сегменте интернета такое может сработать, но большинство взломщиков в рунете работают со обеими раскладками.

Как запомнить придуманную последовательность

1. Записать на бумажке. Самый ненадежный способ. Сайтов много, комбинаций — тоже, бумажки постоянно теряются. А вводить пароль каждый раз по одной букве долго и легко ошибиться.
2. Сохранить на компьютере в текстовом файле. А чтобы еще больше упростить работу злоумышленникам, желательно назвать файл «my_passwords», поместив его в корень диска C:\. Может вставлять сохраненные комбинации гораздо удобнее, чем переписывать их вручную, но ни о какой безопасности в таком случае не может идти и речи.
3. Использовать менеджеры паролей. Оптимальный способ хранения данных. Существуют приложения для настольных ПК, смартфонов и даже облачные сервисы с постоянной синхронизацией.(Пароль всех ваших паролей это …. самый важный пароль в вашей жизни ! )

Password-менеджеры

Из самых известных мультиплатформенных password-менеджеров следует отметить:

• Менеджеры в браузерах Chrome, Opera, Firefox;
• Lastpass;
• 1password;
• Dashlane;
• SafeInCloud;
• Другие.

Пароли будут надежно шифроваться, при этом большинство приложений интегрировано с браузерами. Каждый раз, как пользователь будет заходить на почтовый ящик или в аккаунт соцсети, такие приложения автоматически заполнят логин и сохраненный пароль. Причем комбинации синхронизируются и будут доступны с любых устройств пользователя.

Password-менеджер Lastpass

Как работать с менеджером пароль в браузерах

Если автозаполнение в настройках браузера включено (доступ к этой функции можно получить, зайдя в настройки браузера и открыв меню «passwords» или «автозаполнение»), то каждый раз, как пользователь попадает на сайт, где от него требуется пройти автаризацию, браузер предложит ему сгенерировать случайные символы и сохранить их в менеджере.

Была ли эта статья вам полезна?

191 из 344 пометили это полезным для себя

Генератор паролей онлайн.

&*()_+~»№;%:?=[]{}|/,.'<>

1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz

Первый символ:

любойбуквацифра

Скопировать

Скопировать

Скопировать

Скопировать

Скопировать

Скопировать

Скопировать

Скопировать

Генератор паролей — незаменимый помощник при регистрации нового аккаунта, когда нужно придумать сложный пароль, подходящий под критерии площадки. Выберите состав пароля и его длину, и система сгенерирует для Вас индивидуальную последовательность символов. От вас требуется всего несколько кликов и программа поможет сгенерировать сразу несколько случайных надежных паролей на выбор.

Лаборатория Касперского рекомендует менять пароли от своих электронных почтовых ящиков и аккаунтов в социальных сетях минимум один раз в 2 месяца. Генератор паролей онлайн от involta — гарантия надёжности и уникальности, потому что все они создаются только один раз и сразу же удаляются. Если вы оставите только «Цифры», то можете использовать сервис как генератор случайных чисел.

Чтобы придумать надежный пароль для электронной почты или Вконтакте, не нужно вручную перебирать символы, достаточно выставить нужные настройки в генераторе и получить результат. Как он работает:

1. Выберите типы символов, из которых должен состоять пароль. Это может быть любая комбинация из цифр, прописных и строчных букв, а также знаков %, *, ),?, @, #, $, ~. Если какие-то символы вам не нужны, не ставьте напротив них галочку.
2. Выберите, какой символ должен стоять первым. Это может быть цифра или буква первый символ пароля. Комбинация может начинаться с буквы, цифры или любого символа.
3. Укажите длину пароля. Программа позволяет создавать комбинации размером от 1 до 60 символов, поэтому может работать как генератор не только паролей, но и случайных чисел, уникальных номеров, а также проверочных кодов.
4. Нажмите кнопку «Сгенерировать». Программа подберет для вас 10 вариантов надежных паролей, из которых вы сможете выбрать понравившийся.

Поисковые системы Яндекс и Гугл утверждают, что относительно надежный пароль имеет длину от 8 символов. При этом в нем должны быть использованы все возможные знаки. Пароль для Вк и других социальных сетей лучше генерировать из 8 символов и раз в пару месяцев менять, чем запоминать 12-значную комбинацию, которую все равно смогут взломать. Какой бы вариант вы ни выбрали, наша программа подберет вам подходящий пароль.

Идеи надежных паролей для большей защиты (с примерами)

Слабые и легко угадываемые пароли позволяют легко обойти даже самую надежную стратегию кибербезопасности. Если хакер угадает или взломает пароль, злоумышленник сможет получить доступ к вашей учетной записи или системе, не поднимая тревоги, и скомпрометировать любой актив, который вы сохранили за паролем.

В приведенном ниже руководстве представлены 11 надежных паролей, которые помогут вам оставаться на шаг впереди хакеров. Мы также объясняем разницу между надежными и слабыми парольными фразами, даем советы по улучшению существующих паролей и показываем основные методы, на которые полагаются хакеры для взлома учетных данных.

Как создать надежный пароль (с примерами)

Надежный пароль — это уникальное слово или фраза, которые хакер не может легко угадать или взломать. Вот основные характеристики надежного и безопасного пароля:

• Длина не менее 12 символов (чем длиннее, тем лучше).
• Содержит комбинацию прописных и строчных букв, цифр, знаков препинания и специальных символов.
• Случайный и уникальный.

Несмотря на то, что сложность пароля повышает безопасность, ключевой характеристикой является длина 9598 примерно за 44 часа, в то время как для взлома ILoveMyCatLordStewart потребуется 7 лет постоянной обработки.

Однако даже 7-летней отметки недостаточно, чтобы назвать пароль безопасным, поэтому все идеи надежных паролей, представленные ниже, приводят к фразам, взлом которых занимает значительно больше времени.

Метод 4 случайных слов

Один из самых простых, но наиболее эффективных способов создания надежных паролей — объединить 4 или более, казалось бы, случайных слов. Просто убедитесь, что:

• Длина пароля не менее 12 символов.
• Слова не имеют естественного течения (например, Меня зовут Стивен ).
• Вы разделяете слова пробелами, знаками препинания или специальными символами.

Некоторые примеры этих паролей (и способы их запоминания):

• Phoenix Drive Cafe Office («Я работаю в Фениксе и каждый день проезжаю мимо кафе по пути в офис»).
• Сиэтл, Kindle, Кофе, Самолеты («Сиэтл — родина Amazon, Starbucks и Boeing»).
• Minnesota Airplane Boston Christmas («Я живу в Миннесоте, но каждое Рождество прилетаю домой в Бостон»).

Время, необходимое для взлома Кафе на Феникс Драйв Пароль: 2 миллиона лет

Использовать фразу целиком

Если вы не хотите запоминать случайную последовательность слов, вы можете сделать пароль из пользовательская фаза. Слова внутри фразы лучше сочетаются друг с другом, чем случайные слова, и их легче запомнить, но не стоит полагаться на известное высказывание или цитату.

Вы можете решить, включать ли пробелы между словами (если веб-сайт допускает пробелы в паролях). Вот несколько хороших примеров пользовательских фраз:

• Вы действительно можете использовать пробелы в своем пароле!
• Мои мальчики в школьной баскетбольной команде
• Я бы предпочел пойти на Гриффиндор пожалуйста

Время, необходимое для взлома Вы действительно можете использовать пробелы в своем пароле! пароль: 4 сотни триллионов лет

Использование пользовательского сокращения

Вы можете использовать сокращение для создания запоминающегося, но эффективного пароля. Например, вы можете выбрать фразу «Мой сын родился в больнице Ливерпуля в 2002 году» и взять первую букву каждого слова ( [email protected] ), чтобы создать надежный и легко запоминающийся пароль.

Если вы выберете этот метод, убедитесь, что вы не основываете пароль на общем выражении (например, Tb,on2b,titq). Вот несколько хороших идей:

• IoaBMW,wa5782p. («У меня есть BMW с номерным знаком 5782»).
• Х!Мнпинтд2р! («Эй! Мой новый пароль не так сложно запомнить!»).
• 2015wtyIbm1h. («2015 год был годом, когда я купил свой первый дом»).

Время, необходимое для взлома IoaBMW,wa5782p. пароль: 42 миллиона лет

Использование раскладки клавиатуры

Использование раскладки клавиатуры для создания пользовательского шаблона — еще одна идея надежного пароля. Например, вы можете запомнить что-то простое как имя (например, Джейн Остин), а затем использовать клавиши выше и справа от букв ( 945k9jwp («Центральный вокзал»).

Время, необходимое для взлома P05r 0t 6u4 %9jye пароль: 698 миллионов триллионов лет

Простая формула

Вы можете составить собственную формулу для создания надежного пароля. Например, вы можете взять любую фразу и заменить каждую букву на следующую в алфавите:

• Огурцы вкусные! -> Dvdvncfst bsf убтуз! (время, необходимое для взлома: 762 миллиарда триллионов лет )

Вы также можете взять первую букву каждого слова из припева вашей любимой песни:

• Припев Mamma Mia -> Crack: 129 миллионов триллионов лет )

Эти примеры могут показаться тарабарщиной, но это именно то, чего вы хотите добиться.

Переключение гласных

Возьмите любую фразу и замените одну гласную на другую (например, А на Е). Как всегда, используйте не менее 12 символов и используйте случайную фразу для максимальной защиты:

• «Каждый понедельник, я хочу, чтобы это была пятница 🙁» -> Каждый понедельник, я хочу, чтобы это было, Фриди : (
• «Мне нравится паб с политикой открытия бара всю ночь» -> Мне нравится электронный паб с политикой открытия бара всю ночь
• «Я забиваю гвозди, а гвозди забивают доску» -> Я забиваю гвозди, а гвозди забивают бурду

Время, необходимое для взлома Каждый понедельник, я хочу, чтобы это была Фриди : ( пароль: 307 миллионов триллионов лет

Сократить каждое слово

Выберите запоминающуюся фразу и удалите первые три буквы каждого слова (не волнуйтесь, если в процессе будет удалено все слово):

• «Рабочие дни для работы, а выходные для футбола!» -> kdays k, kends tball!
• «Четверги хороши, но пятницы лучше» -> rsdays at, days tter
• «Баскетбол — мой любимый вид спорта после хоккея» -> ключ от кетбола

Время, необходимое для взлома kdays k, kends tball! пароль: 184 миллиарда лет

Метод предложений (метод Брюса Шнайера)

Придумайте случайное предложение и преобразуйте его в пароль, взяв первые две буквы каждого слова. Например:

• «Хотел бы я иметь больше времени, чтобы придумать пароли получше…» -> IwiIhamotitothofbepa…
• «Проехать мимо Макдональдса и не остановиться требует большой силы воли» -> ДрбьяМакДоанносттаалоофви
• «Создать надежный пароль не так уж и сложно» -> Crastpaisnothhaafal

Время, необходимое для взлома IwiIhamotitothofbepa … пароль: 1 миллиард лет

Смешайте коды ISO любимых стран графства, которые вы посетили (таким образом, вы можете обновлять свой пароль каждый раз, когда посещаете новую страну). Вы получите что-то вроде этого:

• «Канада, Мексика, Франция, Германия, Япония» -> can mex fra deu jpn

Время, необходимое для взлома пароля «can mex fra deu jpn»: 424 триллиона лет

Математический метод

Вы можете использовать математические символы и уравнения для создания надежного пароля. Эти пароли, как правило, длинные и полные различных символов, что делает их идеальным выбором парольной фразы. Некоторые примеры:

• MyDog+MyCat=8legs
• 830-630=двести
• Дети+Рождество=Подарки

Время, необходимое для взлома MyDog+MyCat = 8LEGS Пароль: 9 миллионов лет

Используйте преднамеренные орфографические ошибки

.

Время, необходимое для взлома пароля SuperrmenHatseCryptos : 119 миллионов лет

Если вы решите использовать этот метод, будьте осторожны, чтобы не использовать распространенные орфографические ошибки (такие как « подходящее »). Хакеры снабжают программы для взлома списками паролей со всеми обычными ошибками в формулировках, поэтому чем более непонятен ваш пароль, тем лучше.

Надежные пароли — это только начало надежной стратегии безопасности. Узнайте, что еще вам нужно учитывать, обратившись к нашей статье о наиболее распространенных типах кибератак.

Как улучшить существующий пароль

Если у вас есть любимый пароль, который вы уже легко запоминаете, вам не нужно заменять его новой парольной фразой. Вместо этого вы можете улучшить текущий слабый пароль:

• Добавив пробелы или квадратные скобки.
• Добавление дополнительных слов.
• Повторить пароль дважды.
• Преобразование парольной фразы в адрес электронной почты.
• Добавление случайных знаков препинания.
• Добавление смайликов.
• Перестановка букв местами (если в текущем пароле достаточно символов для обеспечения безопасности).

Незначительные изменения пароля также полезны при создании уникальных паролей для нескольких учетных записей. Вместо того, чтобы создавать новый пароль с нуля, вы можете добавить другой код к существующему паролю для каждой онлайн-учетной записи (например, {Andrew,77}EBAY для вашего профиля eBay и {Andrew,77}PPA L для PayPal. счет).

Чего следует избегать при выборе пароля

Вы должны следовать строгому набору правил при выборе паролей, чтобы избежать уязвимостей, которые может использовать хакер. Надежный пароль никогда не должен содержать:

• менее 12 символов.
• Опираться исключительно на личные данные (имя, фамилия, имя члена семьи, дата рождения, место работы, любимый спортивный клуб и т.д.).
• Содержит запоминающиеся пути клавиатуры (особенно qwerty и asdfgh ).
• Используйте только буквы, символы или цифры.
• Повторное использование для двух (или более) разных учетных записей или веб-сайтов (даже если пароль надежный, один из веб-сайтов, на котором хранится пароль, может взломать и подвергнуть опасности все остальные учетные записи).
• Включить последовательные буквы или цифры.
• Быть основанным на обычном слове (на любом языке).
• В целях безопасности используйте базовую замену символов (например, [email protected] или L3tM31n ).
• Содержит соответствующее имя пользователя.

Примеры плохих паролей, которые могут выглядеть как надежные пароли:

• 5404464785 : Этот пароль не содержит букв или специальных символов, а также использует номер телефона.
• March201977 : В этом пароле используется личная информация (чей-то день рождения), есть обычное словарное слово (март) и отсутствуют специальные символы.
• [email protected] :  Несмотря на то, что он состоит из 13 символов, символа, цифр, сочетания букв и не содержит личной информации, компьютер может взломать этот пароль за 0,01 секунды. [email protected] — обычное словосочетание, а последовательность 12345 — простая находка для любой программы.

Также разумно держаться подальше от любых паролей, широко используемых другими людьми. Хакеры всегда начинают процесс взлома, пробуя самые популярные парольные фразы, например:

• 111111

.

• 123123
• 12345678
• Иисус
• дайте мне
• пароль1
• asdf
• QWERTY
• трастно1
• абс123
• дракон
• футбольный мяч
• я люблю тебя

Вы можете использовать Меня обманули? , чтобы проверить, насколько уникален ваш пароль, и убедиться, что ваша парольная фраза не была частью какой-либо предыдущей утечки данных.

Дополнительные параметры безопасности для защиты ваших паролей

Помимо надежных паролей, вы также можете полагаться на другие методы обеспечения безопасности, чтобы гарантировать безопасность пароля. Приведенные ниже рекомендации полезны как для защиты личных учетных данных, так и для защиты паролей на уровне всей компании.

Многофакторная аутентификация (MFA)

Даже если кто-то украдет ваш пароль, вы все равно можете предотвратить доступ злоумышленника к вашей учетной записи. Многофакторная аутентификация (MFA) добавляет дополнительный уровень безопасности вашей учетной записи, требуя от пользователя предоставить следующее во время входа в систему:

• Имя пользователя и пароль.
• Биометрический скан или физический токен.

Этот двух- или трехэтапный процесс проверки затрудняет доступ киберпреступников и кражу вашей личности.

Если вы хотите защитить свой бизнес от кражи идентификационных данных и паролей, вы можете внедрить MFA через специальное приложение, которое ваши сотрудники устанавливают на свои смартфоны. Google Authenticator и Authy — два отличных бесплатных варианта, оба инструмента генерируют одноразовый PIN-код, который служит дополнительным фактором при входе в систему.

Дополнительные идеи и советы по защите вашего бизнеса от киберугроз см. в нашей статье о передовых методах кибербезопасности.

Виртуальные частные сети (VPN)

Вы (и ваши сотрудники) всегда должны использовать VPN при вводе или обмене паролями в общедоступной сети Wi-Fi. VPN гарантирует, что никто не перехватит ваше имя пользователя и пароль, когда вы входите в свою учетную запись.

Общие рекомендации по защите паролем

Даже самый сложный в мире пароль становится бесполезным, если вы не знаете, как его использовать и защищать. Будьте осторожны с парольной фразой, следуя этим рекомендациям:

• Никому не сообщайте свой пароль.
• Если вы храните пароли в Интернете, убедитесь, что веб-сайт не хранит учетные данные в открытом виде.
• Не сохраняйте пароли в онлайн-документах, сообщениях электронной почты или заметках.
• При выборе контрольных вопросов на случай забытого пароля выбирайте трудно угадываемые варианты, ответ на которые знаете только вы. Не используйте вопрос, ответ на который легко найти в Интернете или в социальных сетях.
• Регулярно меняйте пароли, не реже одного раза в несколько месяцев.
• Не записывайте пароль и не храните его рядом с рабочей станцией.
• Не храните кодовую фразу в телефоне (ни в виде заметки, ни в виде изображения).

Вы также не должны позволять браузерам сохранять ваш пароль. Несмотря на удобство, эта функция означает, что одна утечка данных мгновенно скомпрометирует все ваши учетные записи.

Менеджеры паролей

Менеджер паролей отслеживает все ваши пароли и запоминает их за вас. Все, что вы помните, — это мастер-пароль, предоставляющий доступ к программе управления (надеюсь, это надежный пароль, защищенный с помощью MFA).

Менеджеры паролей защищают парольные фразы с помощью шифрования. Если кто-то успешно взломает менеджер, хэши паролей будут бесполезны без ключа дешифрования, поэтому надежное управление ключами жизненно важно для этих приложений.

Вы можете использовать программу управления паролями для обеспечения безопасности личных учетных данных или в качестве средства рационализации и защиты способов создания, хранения и использования паролей вашими сотрудниками.​

Какие общие методы используются хакерами для взлома вашего пароля?

Хакеры используют множество методов для взлома паролей. Ниже приведен список наиболее распространенных методов, которые киберпреступники могут использовать для компрометации ваших учетных данных.

Атака полным перебором

Атака полным перебором — это простой процесс, в котором программа автоматически перебирает различные возможные комбинации, пока не угадает целевой пароль. Эти программы легко взламывают простые и средние пароли.

В среднем программа грубой силы может выполнить более 15 миллионов попыток ключа в секунду , поэтому 9 минут достаточно, чтобы взломать большинство семисимвольных кодовых фраз. Атаки полным перебором являются основной причиной, по которой мы настаиваем на минимальной длине пароля в 12 символов.

Атака по словарю

В то время как при атаке полным перебором используются все возможные комбинации символов, цифр и букв, атака по словарю пытается взломать пароль с помощью заранее подготовленного списка слов. Эта атака обычно начинается с общих категорий слов, таких как:

• Спортивные команды.
• Имена знаменитостей, членов семьи, друзей, домашних животных, героев фильмов и телепередач и т. д.
• Места (страны, города, достопримечательности и т. д.).
• Хобби.
• Названия животных.

Атака по словарю также пытается заменить буквы символами, такими как 1 вместо I или @ вместо A . Эта кибератака является основной причиной, по которой ни один человек, заботящийся о безопасности, не должен использовать общие слова в своем пароле.

Фишинговые атаки

Фишинговая атака происходит, когда преступник пытается обмануть или заставить вас непреднамеренно поделиться учетными данными. Эта угроза социальной инженерии часто основана на электронных письмах: хакеры отправляют электронное письмо, выдавая себя за кого-то другого, и направляют пользователей на поддельные страницы входа.

Например, вы (или один из ваших сотрудников) можете получить электронное письмо с подробным описанием проблемы со счетом вашей кредитной карты. Электронное письмо ведет на ссылку, ведущую на страницу входа на фальшивом веб-сайте, напоминающем компанию-эмитент вашей кредитной карты. Если жертва попадется на уловку, хакер, создавший фальшивый веб-сайт, получит учетные данные на блюдечке с голубой каемочкой.

Подслушивание

Хакер может перехватить учетные данные, когда жертвы обмениваются паролями через незащищенные сетевые соединения (без VPN и шифрования при передаче). Подслушивание, также известное как sniffing или snooping , позволяет хакеру украсть пароль так, чтобы жертва не заметила, что что-то не так.

Вирусы для регистрации клавиатуры

Вирус для регистрации клавиатуры отслеживает каждое нажатие на клавиатуру, позволяя хакеру записывать ваши пароли (среди прочего).

Dridex и Zeus — два наиболее распространенных вируса кейлоггера. Обе вредоносные программы распространяются через зараженные вложения электронной почты и в первую очередь ищут данные для входа в банк. Чтобы избежать этих вирусов, вы должны:

• Знать, как идентифицировать фишинговые электронные письма.
• Обновляйте программное обеспечение вашего компьютера.
• Установите и используйте надежное антивирусное средство.
• Избегайте сомнительных веб-сайтов и программного обеспечения.

Думаешь, Дридекс и Зевс плохи? Подождите, пока вы не прочитаете о самых опасных примерах программ-вымогателей и их влиянии на бизнес по всему миру.

Повторное использование учетных данных

Повторное использование учетных данных — менее целенаправленная атака, но все же опасная для людей без надежного пароля. Эта тактика использует имена пользователей и пароли, собранные в ходе других взломов, и пробует их на как можно большем количестве случайных платформ и веб-сайтов.

Хакеры обычно собирают десятки тысяч различных учетных данных, утекших в результате другого взлома. К сожалению, поскольку многие люди используют одни и те же простые пароли, этот метод очень эффективен. Другое название повторного использования учетных данных — 9.0005 пароль распыления .

Не рискуйте с вашими паролями

Если кто-то украдет или угадает ваш пароль, этот человек может легко обойти все другие меры безопасности, защищающие ваши данные. Идеи надежных паролей, представленные в этой статье, помогут вам обезопасить себя и гарантировать, что ваши пароли никогда не попадут в чужие руки.

Генератор надежных случайных паролей

Чтобы предотвратить взлом ваших паролей с помощью методов социальной инженерии, грубой силы или словарной атаки, а также обеспечить безопасность ваших онлайн-аккаунтов, обратите внимание на следующее:

1. Не используйте один и тот же пароль, контрольный вопрос и ответ для нескольких важных учетных записей.

2. Используйте пароль, который содержит не менее 16 символов, включая как минимум одну цифру, одну прописную букву, одну строчную букву и один специальный символ.

3. Не используйте в своих паролях имена членов вашей семьи, друзей или домашних животных.

4. Не используйте в своих паролях почтовые индексы, номера домов, номера телефонов, даты рождения, номера удостоверений личности, номера социального страхования и т. д.

5. Не используйте словарные слова в своих паролях.

Примеры надежных паролей: ePYHc~dS*)8$+V-‘ , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ.

Примеры слабых паролей: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Не используйте два и более одинаковых пароля, большинство символов которых совпадают, например, ilovefreshflowersMac, ilovefreshflowersDropBox, так как если один из этих паролей украден, то это означает, что все эти пароли украдены.

7. Не используйте в качестве пароля то, что можно клонировать (но нельзя изменить), например отпечатки пальцев.

8. Не позволяйте вашим веб-браузерам (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) сохранять ваши пароли, так как все пароли, сохраненные в веб-браузерах, могут быть легко раскрыты.

9. Не входите в важные учетные записи на чужих компьютерах или при подключении к общедоступной точке доступа Wi-Fi, Tor, бесплатным VPN или веб-прокси.

10. Не отправляйте конфиденциальную информацию онлайн через незашифрованные (например, HTTP или FTP) соединения, поскольку сообщения в этих соединениях можно перехватить без особых усилий. По возможности следует использовать зашифрованные соединения, такие как HTTPS, SFTP, FTPS, SMTPS, IPSec.

11. Во время путешествий вы можете зашифровать свои интернет-соединения, прежде чем они покинут ваш ноутбук, планшет, мобильный телефон или маршрутизатор. Например, вы можете настроить частный VPN с такими протоколами, как WireGuard (или IKEv2, OpenVPN, SSTP, L2TP через IPSec) на своем собственном сервере (домашний компьютер, выделенный сервер или VPS) и подключиться к нему. Кроме того, вы можете настроить зашифрованный туннель SSH между вашим компьютером и вашим собственным сервером и настроить Chrome или FireFox для использования прокси-сервера socks. Тогда, даже если кто-то захватит ваши данные во время их передачи между вашим устройством (например, ноутбуком, iPhone, iPad) и вашим сервером с помощью анализатора пакетов, он не сможет украсть ваши данные и пароли из зашифрованных потоковых данных.

12. Насколько надежен мой пароль? Возможно, вы считаете, что ваши пароли очень надежные, их сложно взломать. Но если хакер украл ваше имя пользователя и хеш-значение MD5 вашего пароля с сервера компании, а радужная таблица хакера содержит этот хэш MD5, то ваш пароль будет быстро взломан.

     Чтобы проверить надежность ваших паролей и узнать, находятся ли они в популярных радужных таблицах, вы можете преобразовать свои пароли в хэши MD5 с помощью генератора хэшей MD5, а затем расшифровать свои пароли, отправив эти хэши в онлайн-службу расшифровки MD5. Например, ваш пароль «0123456789».A», используя метод грубой силы, компьютеру может потребоваться почти год, чтобы взломать ваш пароль, но если вы расшифруете его, отправив его хэш MD5 ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) на веб-сайт для расшифровки MD5, сколько времени потребуется, чтобы взломать его. Вы можете выполнить тест самостоятельно

13. Рекомендуется менять пароли каждые 10 недель

14. Рекомендуется запомнить несколько мастер-паролей, остальные пароли хранить в текстовом файле и зашифровать этот файл с помощью 7 -Zip, GPG или программное обеспечение для шифрования диска, такое как BitLocker, или управляйте своими паролями с помощью программного обеспечения для управления паролями. 0003

15. Зашифруйте и сделайте резервную копию своих паролей в разных местах, тогда, если вы потеряете доступ к своему компьютеру или учетной записи, вы сможете быстро восстановить свои пароли.

16. По возможности включайте двухэтапную аутентификацию.

17. Не храните важные пароли в облаке.

18. Получите доступ к важным веб-сайтам (например, Paypal) напрямую из закладок, в противном случае внимательно проверьте его доменное имя. Перед вводом пароля рекомендуется проверить популярность веб-сайта с помощью панели инструментов Alexa, чтобы убедиться, что это не фишинговый сайт.

19. Защитите свой компьютер с помощью брандмауэра и антивирусного программного обеспечения, заблокируйте все входящие соединения и все ненужные исходящие соединения с помощью брандмауэра. Загружайте программное обеспечение только с авторитетных сайтов и по возможности проверяйте контрольную сумму MD5/SHA1/SHA256 или подпись GPG установочного пакета.

20. Сохраните операционные системы (например, Windows 7, Windows 10, Mac OS X, iOS, Linux) и веб-браузеры (например, FireFox, Chrome, IE, Microsoft Edge) ваших устройств (например, Windows PC, Mac PC, iPhone). , iPad, планшет Android ) обновите, установив последнее обновление для системы безопасности.

21. Если на вашем компьютере есть важные файлы, и к ним могут получить доступ другие, проверьте, есть ли аппаратные кейлоггеры (например, сниффер беспроводной клавиатуры), программные кейлоггеры и скрытые камеры, когда вы считаете это необходимым.

22. Если в вашем доме есть роутеры WIFI, то можно узнать введенные вами пароли (в доме соседа) по жестам ваших пальцев и рук, так как принимаемый ими сигнал WIFI будет меняться при перемещении вашего пальцы и руки. В таких случаях вы можете использовать экранную клавиатуру для ввода паролей, было бы более безопасно, если бы эта виртуальная клавиатура (или программная клавиатура) каждый раз менял раскладку.

23. Блокируйте свой компьютер и мобильный телефон, когда оставляете их.

24. Зашифруйте весь жесткий диск с помощью VeraCrypt, FileVault, LUKS или подобных инструментов, прежде чем помещать на него важные файлы, и физически уничтожьте жесткий диск ваших старых устройств, если это необходимо.

25. Доступ к важным веб-сайтам в режиме конфиденциальности или инкогнито или использование одного веб-браузера для доступа к важным веб-сайтам, использование другого веб-браузера для доступа к другим сайтам. Или заходите на второстепенные веб-сайты и устанавливайте новое программное обеспечение на виртуальную машину, созданную с помощью VMware, VirtualBox или Parallels.

26. Используйте не менее 3 разных адресов электронной почты, используйте первый для получения электронных писем с важных сайтов и приложений, таких как Paypal и Amazon, используйте второй для получения электронных писем с неважных сайтов и приложений, используйте третий (от другой провайдер электронной почты, такой как Outlook и GMail), чтобы получить электронное письмо для сброса пароля, когда первый (например, Yahoo Mail) взломан.

27. Используйте как минимум 2 разных номера телефона в сети, НЕ сообщайте другим номер телефона, который вы используете для получения текстовых сообщений с кодами подтверждения.

28. Не нажимайте на ссылку в сообщении электронной почты или SMS-сообщении, не сбрасывайте свои пароли, нажимая на них, за исключением того, что вы знаете, что эти сообщения не являются поддельными.

29. Никому не сообщайте свои пароли в электронном письме.

30. Возможно, одно из загруженных или обновленных вами программ или приложений было изменено хакерами. Вы можете избежать этой проблемы, не устанавливая это программное обеспечение или приложение в первый раз, за ​​исключением того, что оно опубликовано для устранения брешей в безопасности. Вместо этого вы можете использовать веб-приложения, которые более безопасны и портативны.

31. Будьте осторожны при использовании онлайн-инструментов для вставки и захвата экрана, не позволяйте им загружать ваши пароли в облако.

32. Если вы являетесь веб-мастером, не храните пароли пользователей, контрольные вопросы и ответы в виде простого текста в базе данных, вместо этого вы должны хранить хэш-значения этих строк с солью (SHA1, SHA256 или SHA512).

Рекомендуется генерировать уникальную случайную строку соли для каждого пользователя. Кроме того, рекомендуется регистрировать информацию об устройстве пользователя (например, версию ОС, разрешение экрана и т. д.) и сохранять их хэш-значения с солью, а затем, когда он/она попытается войти в систему с правильным паролем, но его/ее устройство информация НЕ совпадает с предыдущей сохраненной, позвольте этому пользователю подтвердить свою личность, введя другой код подтверждения, отправленный по SMS или электронной почте.

33. Если вы разработчик программного обеспечения, вам следует опубликовать пакет обновлений, подписанный с помощью закрытого ключа с помощью GnuPG, и проверить его подпись с помощью ранее опубликованного открытого ключа.

34. Чтобы обеспечить безопасность вашего онлайн-бизнеса, вы должны зарегистрировать собственное доменное имя и настроить учетную запись электронной почты с этим доменным именем, тогда вы не потеряете свою учетную запись электронной почты и все свои контакты, так как вы можете размещать ваш почтовый сервер в любом месте, ваша учетная запись электронной почты не может быть отключена провайдером электронной почты.

35. Если сайт интернет-магазина позволяет производить оплату только кредитными картами, вам следует использовать вместо этого виртуальную кредитную карту.

36. Закрывайте веб-браузер, когда уходите с компьютера, иначе файлы cookie могут быть легко перехвачены с помощью небольшого USB-устройства, что позволит обойти двухэтапную проверку и войти в свою учетную запись с украденными файлами cookie на других компьютерах.

37. Не доверяйте плохим SSL-сертификатам и удалите их из своего веб-браузера, иначе вы НЕ сможете обеспечить конфиденциальность и целостность HTTPS-соединений, использующих эти сертификаты.

38. Зашифруйте весь системный раздел, в противном случае отключите функции файла подкачки и гибернации, так как важные документы можно найти в файлах pagefile.sys и hiberfil.sys.

39. Чтобы предотвратить атаки методом грубой силы при входе на ваши выделенные серверы, серверы VPS или облачные серверы, вы можете установить программное обеспечение для обнаружения и предотвращения вторжений, такое как LFD (Демон отказа при входе) или Fail2Ban.