Пароли сильные: Как сделать ваши пароли сильными и защищенными

Содержание

Какой пароль невозможно взломать?

Данная статья является переводом. Автор: Rohan Kumar. Ссылка на оригинал.

Примечание: этот пост содержит уравнения. Поскольку ни одно из уравнений не было длинным или сложным, я решил просто записать их в виде блоков кода, а не использовать изображения или MathML, как это делает Википедия.

Я реализовал идеи из этого поста в блоге (и не только) в программе/библиотеке MOAC.

Введение

Я понимаю, что рекомендации по надежности пароля могут устареть. По мере того как суперкомпьютеры становятся все более мощными, необходимо обновлять рекомендации по надежности паролей, чтобы противостоять более сильным атакам грубой силы. Надежные сегодня пароли могут оказаться слабыми в будущем. Какой длины должен быть пароль, чтобы его было физически невозможно взломать?

Этот вопрос может быть не особенно практичным, но его интересно анализировать, и он предлагает интересную точку зрения относительно разумных верхних пределов надежности пароля.

Задаем правильный вопрос

Давайте ограничим рамки этой статьи паролями, используемыми при шифровании/дешифровании. Злоумышленник пытается угадать пароль, чтобы что-то расшифровать.

Вместо того чтобы предсказывать, на что способны завтрашние компьютеры, давайте рассмотрим самую мощную атаку грубой силы, которую допускают законы физики.

Суперкомпьютер, вероятно, быстрее вашего телефона. Однако при наличии достаточного времени оба могут выполнять одни и те же вычисления. Время не является узким местом, в отличие от потребления энергии. Более эффективные компьютеры могут передавать больше битов, используя конечное количество энергии.

Другими словами, энергоэффективность и доступность энергии являются двумя основными узкими местами вычислений. Что происходит, когда компьютер с наивысшей теоретической энергоэффективностью ограничен только массой-энергией всей наблюдаемой Вселенной?

Назовем эту абсолютную единицу энергоэффективного компьютера MOAC (Mother of All Computers). Для всех классических компьютеров, состоящих из материи, выполняющих вычисления и связанных принципом сохранения энергии, MOAC представляет собой конечный, но недостижимый предел вычислительной мощности. И да, он может играть в пасьянс с потрясающей частотой кадров.

Насколько надежным должен быть ваш пароль, чтобы он был защищен от атаки грубой силы со стороны MOAC?

Больше полезных материалов вы найдете на нашем телеграм-канале «Библиотека программис

Интересно, перейти к каналу

Количественная оценка надежности пароля

Предыдущая версия этого раздела не была ясной и точной. С тех пор я удалил проблемные биты и добавил разъяснение о солении/хэшировании (salting/hashing) в раздел «Предостережения и оценки».

Хорошей мерой надежности пароля являются биты энтропии. Биты энтропии в пароле представляют собой логарифм по основанию 2 числа догадок, необходимых для его перебора (James Massey (1994). Guessing and entropy (PDF). Proceedings of 1994 IEEE International Symposium on Information Theory. IEEE. p. 204.)

Атака грубой силы, которая выполняет 2n догадок, наверняка взломает пароль с n битами энтропии и имеет шанс один к двум взломать пароль с n+1 битами энтропии.

Для масштабирования шифрование AES-256 в настоящее время является отраслевым стандартом для надежного симметричного шифрования и использует ключи длиной 256 бит. Метод поиска ключа по 256-битному ключевому пространству противоречил бы его 2256 возможным перестановкам. При использовании шифрования AES-256 с ключом, полученным из пароля с более чем 256 битами энтропии, узким местом является энтропия ключа AES; злоумышленнику будет лучше выполнить исчерпывающий поиск ключа AES, чем атаку методом грубой силы для подбора пароля.

Для расчета энтропии пароля я рекомендую использовать такие инструменты, как zxcvbn или KeePassXC.

Проблема

Определите функцию P. P определяет вероятность того, что MOAC правильно угадает пароль с n битами энтропии после использования e энергии:

P(n, e)
    

Если P(n, e ) ≥ 1, MOAC обязательно угадает ваш пароль до того, как закончится энергия. Чем меньше P(n , e), тем меньше вероятность того, что MOAC угадает ваш пароль.

Предостережения и оценки

У меня нет сильного физического образования.

Атака грубой силы будет просто угадывать один пароль, пока не будет найден правильный. Атака грубой силы не «расшифровывает» сохраненные пароли, потому что они не должны храниться в зашифрованном виде; их обычно «солят» и «хэшируют».

При оценивании мы предпочитаем более высокие оценки, которые увеличивают вероятность подбора пароля; в конце концов, цель этого упражнения — установить верхний предел надежности пароля. Мы также упростим еще кое-что: например, MOAC не будет тратить тепло, и единственный способ, которым он может подобрать пароль, — это перебор. Сосредоточение внимания на слишком большом количестве деталей лишило бы смысла этого мысленного эксперимента.

Квантовые компьютеры могут использовать алгоритм Гровера для экспоненциального ускорения; для квантовых компьютеров с использованием алгоритма Гровера вместо этого рассчитайте P(n/2, e).

Другие лучше подготовлены для объяснения алгоритмов шифрования/хеширования/генерации ключей, поэтому я не буду вдаваться в подробности; это просто чистая и простая атака грубой силы с учетом предварительно вычисленной энтропии пароля, и предполагая, что криптография неуязвима.

Очевидно, я не принимаю во внимание будущие математические достижения; мой хрустальный шар разбился после того, как я спросил его, разработает ли человечество когда-нибудь технологию, позволяющую сделать аниме реальностью.

Наконец, всегда существует ненулевая вероятность того, что атака грубой силы угадает пароль с заданной энтропией. Буквальный «иммунитет» невозможен. Снижение этой вероятности до статистической незначительности делает наш пароль практически невосприимчивым к атакам грубой силы.

Вычисление

Сколько энергии MOAC использует на одно предположение во время атаки грубой силы? В контексте этого мысленного эксперимента это число должно быть нереально низким. Я остановился на kT. k представляет собой постоянную Больцмана (около 1,381×10-23 Дж/К), а T представляет собой температуру системы. Их произведение соответствует количеству тепла, необходимого для увеличения энтропии системы на 1 нат.

Для более сложного подхода к выбору хорошего значения можно использовать соотношение Планка-Эйнштейна.

Также, вероятно, лучше сделать это значение оценкой для одного бита, также нужно оценить среднее количество инвертированных битов (bit-flips), необходимых для подбора одного пароля. Если вас это беспокоит, выберите число b, которое, по вашему мнению, является хорошей оценкой для подсчета инвертированных битов, и вычислите P(n+b , e) вместо P(n, e ).

Что насчет температуры системы? Следующая информация поможет нам узнать:

  1. MOAC находится где-то в обозримой части Вселенной.
  2. MOAC поглотит всю наблюдаемую Вселенную.
  3. Вселенная в основном пуста.

Хорошим значением T была бы средняя температура всей наблюдаемой Вселенной. Вселенная в основном пуста; T примерно равна температуре космического фонового излучения в космосе. Самая низкая разумная оценка этой температуры составляет 2,7 градуса Кельвина (Assis, A. K. T.; Neves, M. C. D. (3 July 1995). History of the 2.7 K Temperature Prior to Penzias and Wilson). Более низкая температура означает меньшее потребление энергии, меньшее потребление энергии позволяет выполнять больше вычислений, а большее количество вычислений повышает верхний предел надежности пароля.

На каждое предположение MOAC расходует kT энергии. Пусть E = общее количество энергии, которое может использовать MOAC; пусть B = максимальное количество догадок, которые MOAC может выполнить, прежде чем закончится энергия.

B = E/(kT)
    

Теперь, учитывая максимальное количество паролей, которые MOAC может угадать B, и биты энтропии в нашем пароле n, мы получаем уравнение вероятности того, что MOAC угадает наш пароль:

P(n,B) = B/2ⁿ
    

Подставьте наше выражение для B:

P(n,E) = E/(2ⁿkT)
    

Вычисление массы-энергии наблюдаемой Вселенной

MOAC может использовать всю массу-энергию наблюдаемой Вселенной (Примечание: предполагалось, что MOAC 2 сможет потреблять другие источники энергии, такие как темная материя и темная энергия. К сожалению, у Intergalactic Business Machines закончились средства, поскольку все их предыдущие средства, состоящие из материи, были поглощены исходным MOAC). Просто поместите наблюдаемую вселенную в присоединенную печь со 100% КПД, включите горелку и выработайте энергию для компьютера. Возможно, вам придется попросить друга о помощи.

Только сколько это энергии? Формула эквивалентности массы и энергии довольно проста:

E = mc²
    

Мы пытаемся найти Е и знаем, что с, скорость света, равна 299 792 458 м/с. Остается m. Какова масса наблюдаемой Вселенной?

Расчет критической плотности наблюдаемой Вселенной

Критическая плотность — это наименьшая средняя плотность вещества, необходимая для того, чтобы почти полностью остановить расширение Вселенной. Еще немного плотнее, и расширение прекратится; меньше, и расширение никогда не остановится.

Пусть D = критическая плотность наблюдаемой Вселенной и V = объем наблюдаемой Вселенной. Масса есть произведение плотности на объем:

m = DV
    

Мы можем получить значение D, решив его в уравнениях Фридмана:

D = 3Hₒ²/(8πG)
    

Где G — гравитационная постоянная, а Hₒ — постоянная Хаббла. Hₒd — скорость расширения на соответствующем расстоянии d.

Давайте предположим, что наблюдаемая Вселенная — это сфера, расширяющаяся со скоростью света с момента Большого взрыва. (Примечание: Это огромное упрощение; нет однозначного ответа на вопрос «Каков объем наблюдаемой Вселенной?» Использование этого подхода, основанного на скорости света, является одной из множества действительных точек зрения. Абсолютный размер наблюдаемой Вселенной намного больше из-за того, как работает расширение, но чтобы запихнуть его в топку MOAC, потребуется движущаяся масса со скоростью, превышающей скорость света. ). Объем V нашей сферической Вселенной при заданном ее радиусе r равен:

V = (4/3)πr³
    

Чтобы найти радиус наблюдаемой вселенной r, мы можем использовать возраст вселенной t:

r = ct
    

Закон Хаббла оценивает возраст Вселенной примерно в 1/ Hₒ

Решение для Е

Подставим все полученные значения в исходное уравнение для массы наблюдаемой Вселенной m:

m = DV
    

Помните, в начале статьи я сказал, что ни одно из уравнений не будет длинным или сложным?

Я солгал.

m = (3Hₒ²/(8πG))(4/3)π(ct)³
m = c³/(2GHₒ)
E = mc²
E = c⁵/(2GHₒ)
    

Ура, мы нашли выражение для полной энергии, которую может потреблять МОАК!

Окончательное решение

P(n,E) = E/(2ⁿkT)
P(n, c⁵/(2GHₒ)) = c⁵/(2GHₒ*2ⁿkT)
    

Давайте скопируем и вставим значения этих констант из Википедии и Wolfram Alpha:

с = 299 792 458 м/с
G ≈ 6,67408×10-11 м³/кг/с²
Hₒ ≈ 2,2 × 10-18 Гц (неточно; посмотрите натяжение Хаббла)
Т ≈ 2,7 К
k ≈ 1,38065×10-23 Дж/К
    

Подключаем их и упрощаем:

P(n) ≈ 2,21×1092 / 2n
    

Вот несколько примеров выходных данных:

P(256) ≈ 1,9×1015 (пароль определенно взломан после сжигания 1,9 квадриллионной массы-энергии наблюдаемой Вселенной). vWo3`g6H#JSC#N6gWm#hVdD~ziD$YHW

Использование только буквенно-цифровых символов:

tp8D69CGWE5t5a9si5XNsw32CKyCafh8qGrKWLwE6KJHpGyUtcJDWpgRz5mFNx
    

Отрывок из религиозного текста с пробелом в конце:

I'd just like to interject for a moment. What you’re referring to as Linux, is in fact, GNU/Linux,
    

Не используйте в качестве пароля настоящие отрывки из ранее существовавших произведений.

Заключение, TLDR

Вопрос: Какой должна быть энтропия у пароля, чтобы гарантировать, что он никогда не будет уязвим для атаки грубой силы? Может ли невероятно эффективный компьютер — MOAC — взломать ваш пароль?

Ответ: ограничен только энергией, если компьютер с наивысшим физически возможным уровнем эффективности сделан из материи, работает для вычислений и подчиняется закону сохранения энергии:

  • Пароль с 256-битной энтропией практически невосприимчив к атакам грубой силы, достаточно мощным, чтобы буквально сжечь мир, но его довольно просто взломать с помощью источника топлива вселенского масштаба.
  • Пароль с 327 битами энтропии почти невозможно взломать, даже если вы сожжете всю обозримую вселенную, пытаясь это сделать.

Дополнительная литература: альтернативные подходы

Ознакомьтесь со статьей Скотта Ааронсона «Космология и сложность». Он использует альтернативный подход к нахождению максимальных битов, с которыми мы можем работать: он просто инвертирует космологическую постоянную.

Эта модель учитывает не только массу наблюдаемой Вселенной. Хотя ранее мы обнаружили, что MOAC может подобрать пароль с энтропией 306,76 бит, эта модель позволяет то же самое до 405,3 бит.

Подходы, учитывающие скорость вычислений

Подход этой статьи намеренно игнорирует скорость вычислений, сосредотачиваясь только на энергии, необходимой для завершения набора вычислений. Другие подходы учитывают физические ограничения скорости вычислений.

Одним из хорошо известных подходов к вычислению физических пределов вычислений является предел Бремермана, который рассчитывает скорость вычислений при заданном количестве массы. Подход этой статьи игнорирует время, сосредотачиваясь только на эквивалентности массы и энергии.

Предельные физические пределы вычислений Сета Ллойда дополнительно исследует пределы скорости вычислений на идеальном 1-килограммовом компьютере.

***

Материалы по теме

  • 🕵 Как взломать Wi-Fi с помощью Kali Linux 2020.4 и Ubuntu 20.04
  • 🏴‍☠️ История цифрового взлома: 10 самых известных хакеров всех времен

Как составить простой и сильный пароль

dimkafn

Автор:

dimkafn

25 июля 2016 19:12

Метки: безопасность   компьютеры   

331906

7

На дворе 21-ый век. Уже никуда не денешься от цифровой техники, интернета, онлайн-магазинов, мобильников и и и… Много всего развелось 🙂
«Введите пароль» стало обыденным, но некоторые/многие используют очень слабые пароли: «123456», или «йцукен» :-))), или «qwerty» и тому подобные.

Три простых совета и ряд примеров

помогут Вам составить Ваш, простой, но очень сильный пароль:

1. используйте минимум 10 разных символов
2. используйте заглавные и прописные буквы
3. дополните Ваш пароль цифрами

Пример

Марина Петрова
Московский Проспект 37
105187 Москва

Этих данных уже больше чем достаточно, чтобы составить очень сильный пароль.

Вариант №1

Берём первую и третью букву от каждого слова, пишем первую и каждую третью букву большой, пишем числа в обычном порядке, получается вот что:

МрПтМсПо37105187Мс

Чтобы взломать такой пароль, понадобится очень, очень много времени и очень мощный компьютер.

Пароль получился конечно же очень длинный и не каждый будет этим заморачиваться.

Вариант №2

Можно его сократить только на имя, фамилию (первую + третью букву) и индекс в обратном порядке, получится тоже простой, но уже сильный пароль:

МрПт781501

Вариант №3

Если переключить клавиатуру на латинские буквы, но писать «русскими» (т.е. нажимать те клавиши, на которых стоят Вам нужные русские буквы) то получается вот это:

VhGn781501

Вариант №4

Переключить клавиатуру на латинские буквы и написать просто имя (МаРиНа) и индекс в обратном порядке:

VfHbYf781501

Кстати, провёл тест, над паролем «VfHbYf» (МаРиНа) одна специальная программка поиска паролей парилась безрезультатно больше трёх часов. Хотя пароль достаточно короткий, всего 6 букв, программа его не нашла.
С паролями «marina», «MaRiNa» и «MarIna» программа справилась меньше чем за 10 мин.

Вариант №5

Придумайте себе какое-нибудь предложение. Например:
«я свой пароль никому не скажу мля»

1. используйте первую букву от каждого слова этого предложения
2. используйте заглавные буквы
3. дополняйте пароль цифрами (в этом случае индекс в обратном порядке)

Получается вот такое:

ЯспНнсМ781501

С латинской клавиатурой, получится вот это:

ZchYycV781501

Везде предупреждают (что конечно правильно)

«Не используйте один и тот-же пароль на всех страницах где требуется логин!»

Но как тогда можно разнообразить пароль и при этом сохранить его основу?

Добавляйте в пароль адрес страницы, на которой вам нужен пароль, используя например первую и третью букву от названия страницы, и первую букву после «точки».
Например «фишки.нет» и Вариант №5
ЯспНнсМ781501Фшн

или «майл.ру» и Вариант №5
ЯспНнсМ781501Мйр

Основа пароля сохранена, а пароль не будет повторятся на других страницах.

Если нужно часто менять пароль, например для сбербанка.

Можно добавлять в тот-же пароль, например первую и третью букву месяца:
«сбербанк.ру», месяц «июль» и вариант №5:

ЯспНнсМ781501СерИл

Опа, прикольный пароль получился :-))))) можт даже подходящий :-)))

Чтобы не запутаться

продумайте одну основу для всех Ваших паролей:
1. какие буквы Вы будете использовать (первую и последнюю или первую и третью от каждого слова и т.д.)
2. какие буквы должны быть заглавными (первая и через одну, каждая четвёртая и т.д.)
3. в каком порядке будете ставить цифры д.рожд., номер дома и/или индекса (в обычном или обратном порядке)

Самое главное

Каким бы простым и/или сильным пароль ни был, память может подвести 🙂 говорю из собственного опыта.
Записывайте все пароли на листке, следите за их актуальностью и храните его в укромном месте 😉

Прошу прощения за возможные грамматические ошибки.

Спасибо за просмотр.

Ссылки по теме:

  • 12 самых вредных и опасных мифов о загаре

  • 17 людей, которых больше не следует допускать к строительству

  • Компьютерная мышь 25-летней давности

  • Умилительный моноблок Compaq prolinea net1\25s

  • Эта обычная пожарная безалаберность

Метки: безопасность   компьютеры   

Новости партнёров

реклама

Не трать воду впустую!.

Удар молнии вызвал сильный пожар на нефтеперерабатывающей станции в США.

Хозяин, я всё починил!.

В Петербурге грузовик вылетел на встречную полосу, смяв 13 автомобилей.

Луселия Сантус: как сейчас живет и выглядит знаменитая «Рабыня Изаура».

Купить дом и не пожалеть. 7 ошибок,….
Реклама. ООО КЕХ еКоммерц. ИНН 7710668349
erid: LjN8KSBqY

В 2000 году ученые нашли в вечной мерзлоте в Сибири гигантский древний вирус.

Рыба-луна: шансы выжить меньше 1%.

Гобийский медведь: эти бурые мишки выживают в мёртвой монгольской пустыне.

Полька или полячка: как правильно?.

Новости СМИ2

Древности, сохранившиеся в застывшем янтаре.

Пацан решил стать Росомахой из «Люди Икс» с помощью градусников.

В США заснувший в контейнере мужчина оказался в мусоровозе, попал под пресс и выжил.

Под Казанью предотвращено ограбление века!.

Ночной бой между дорожными рабочими и неадекватами закончился извинениями в отделе.

16 случаев, когда купленная за гроши на барахолке побрякушка оказалось ценностью, которая….

В Воронеже рухнула подпорная стена Каменного моста — одного из символов города.

Ретро-версия фильма «Форсаж».

Ты заехал не в тот район, лыжник!.

9999 в 1: легендарный картридж для Dendy, который обманывал ожидания геймеров 90-х.

Отец пнул и ударил сына из-за неудачи во время мотогонки.

Каймановая черепаха – милаха, которая может не утруждать себя дыханием по полгода.

Доставить любой ценой!.

15 объектов, назначение которых требует объяснения.

Мелкие вандалы уничтожили петроглифы эпохи неолита в Хабаровском крае.

LEGO отправила в стратосферу 1000 «легонавтов».

Кот с необычной кличкой, прославившийся как вдохновитель балерин.

Почему мужчины Саудовской Аравии украшают себя цветами.

Более 30 змей обнаружили в носках женщины в аэропорту Израиля.

12 героических фото о советских мотоциклистах времён Великой Отечественной войны, которых….

Ирландский замок МакДермотт: кто решил построить замок на крохотном островке.

Когда девушке наконец-то пришли все её заказы с Алиэкспресс.

Кто психу дал велосипед?.

Домашний кот до чертиков напугал лисицу.

Комментарии и картинки из соцсетей. Свежак за 3 июня.

Чем опасны облака и как пилоты их обходят⁠⁠.

Посетитель магазина спас мужчину в супермаркете, у которого случился приступ эпилепсии.

14 примеров, что реклама может быть гениальной.

Бесплатная, но чреватая поездка для великого сатирика.

Ирландия планирует уничтожить 200 000 дойных коров «ради климата».

Самый эпичный следственный эксперимент из города Камышин.

Самая правильная йога.

Обменяла штаны на самокат?.

Никакой голой «ж»: в Канаде выпустили специальные джинсы для работяг.

Приз за лучшую актёрскую игру достаётся этой летяге⁠⁠.

Суровые будни британской полиции.

Модель из Москвы развели на деньги и фото «ню», пригласив на съемки клипа Шамана.

Кальянные опять под угрозой? В Госдуме снова рассуждают на тему сохранения здоровья нации.

Сколько стоят сейчас овощи в Германии: смотрим и сравниваем с ценами в России.

Школьник из Москвы угостил одноклассников тортом, но потерял мамины тарелки.

Хозяин подарил собственный диван!.

На МКАДе отцепился прицеп и убил человека.

13 исторических личностей, чья внешность была восстановлена с помощью графического дизайна.

Показать ещё

Удиви меня!

Держите свои пароли надежными и безопасными с помощью этих 9 правил. Но с таким количеством учетных записей, которые нужно отслеживать, заманчиво (и невероятно легко) попасть в дурную привычку использовать одни и те же учетные данные для входа в систему для всего.

Если ваши данные скомпрометированы, слабые пароли могут иметь серьезные последствия, например, кражу личных данных. Количество сообщений об утечке данных в прошлом году установило новый рекорд, не говоря уже о взломе T-Mobile в 2021 году, в результате которого была раскрыта личная информация более 50 миллионов клиентов.

Для большинства из нас недоступна защита личности в мире без паролей. А пока попробуйте эти рекомендации, которые помогут свести к минимуму риск раскрытия ваших данных. Читайте дальше, чтобы узнать, как создавать лучшие пароли и управлять ими, как получать оповещения в случае их взлома, а также один важный совет, чтобы сделать ваши входы в систему еще более безопасными. И вот три старых правила пароля, которые сегодня оказались глупыми.

Подробнее:  лучших менеджеров паролей на 2022 год и способы их использования

Используйте менеджер паролей, чтобы отслеживать свои пароли

Надежные пароли длиннее восьми символов, их трудно угадать и они содержат множество символов, цифр и специальных символов. Лучшие из них бывает трудно запомнить, особенно если вы используете отдельный логин для каждого сайта (что рекомендуется). Здесь на помощь приходят менеджеры паролей.

Надежный менеджер паролей, такой как 1Password или Bitwarden , может создавать и хранить для вас надежные и длинные пароли. Они работают на вашем компьютере и телефоне.

Хороший менеджер паролей поможет вам отслеживать данные для входа.

Небольшое предостережение заключается в том, что вам все равно придется запомнить один мастер-пароль, который разблокирует все остальные пароли. Так что сделайте его настолько сильным, насколько это возможно (и см. ниже более конкретные советы по этому поводу).

Браузеры, такие как Google Chrome, также поставляются с менеджерами паролей, но наш дочерний сайт TechRepublic обеспокоен тем, как браузеры защищают пароли, которые они хранят, и рекомендует вместо этого использовать специальное приложение.

Менеджеры паролей с их единственным мастер-паролем, конечно же, являются очевидными целями для хакеров. И менеджеры паролей не идеальны. В 2019 году LastPass исправила ошибку, из-за которой могли быть раскрыты учетные данные клиента. Надо отдать должное, компания была прозрачна в отношении потенциальной уязвимости и шагов, которые она предпримет в случае взлома.

Подробнее:  Чем хороши менеджеры паролей, пока вы не потеряете свой пароль

Да, вы можете записать свои учетные данные. Действительно

Мы знаем: эта рекомендация противоречит всему, что нам говорили о защите в Интернете. Но менеджеры паролей не для всех, и некоторые ведущие эксперты по безопасности, такие как Electronic Frontier Foundation, предполагают, что хранение вашей регистрационной информации на физическом листе бумаги или в блокноте является жизнеспособным способом отслеживания ваших учетных данных.

И мы говорим о настоящей старомодной бумаге, а не об электронном документе вроде файла Word или
Google
электронную таблицу, потому что, если кто-то получит доступ к вашему компьютеру или учетным записям в Интернете, он также может получить доступ к этому электронному файлу паролей.

Хранение паролей на листе бумаги или в записной книжке может быть лучшим решением для некоторых людей.

Графика Pixabay/Иллюстрация CNET

Конечно, кто-то также может проникнуть в ваш дом и уйти с ключами доступа ко всей вашей жизни, но это маловероятно. На работе или дома мы рекомендуем хранить этот лист бумаги в надежном месте, например в запертом ящике стола или шкафу, вне поля зрения. Ограничьте количество людей, которые знают, где находятся ваши пароли, особенно к вашим финансовым сайтам.

Если вы часто путешествуете, физически носить с собой свои пароли представляет повышенный риск, если вы потеряете свой блокнот.

Читать дальше : 5 способов сделать ваши пароли мгновенно более безопасными

Узнайте, не были ли украдены ваши пароли

Вы не всегда можете предотвратить утечку ваших паролей из-за утечки данных или злонамеренного взлома. Но вы можете в любое время проверить наличие намеков на то, что ваши учетные записи могут быть скомпрометированы.

Mozilla Firefox Monitor и Google Password Checkup могут показать вам, какие из ваших адресов электронной почты и паролей были скомпрометированы в результате утечки данных, чтобы вы могли принять меры. Have I Been Pwned также может показать вам, были ли раскрыты ваши электронные письма и пароли. Если вы обнаружите, что вас взломали, ознакомьтесь с нашим руководством о том, как защитить себя.

Посмотрите это: Ваши учетные данные для входа в даркнет? Узнайте прямо сейчас

Избегайте общих слов и комбинаций символов в вашем пароле

Цель состоит в том, чтобы создать пароль, который кто-то другой не будет знать или сможет легко угадать. Держитесь подальше от общих слов, таких как «пароль», фраз, таких как «мой пароль», и предсказуемых последовательностей символов, таких как «qwerty» или «thequickbrownfox».

Также избегайте использования вашего имени, прозвища, имени вашего питомца, вашего дня рождения или годовщины, вашей улицы или всего, что с вами связано, что кто-то может узнать из социальных сетей или из задушевного разговора с незнакомцем в самолете или в баре.

Более длинные пароли лучше: 8 символов — это отправная точка

8 символов — это отличное начало для создания надежного пароля, но более длинные логины лучше. Electronic Frontier Foundation и эксперт по безопасности Брайан Кребс, среди многих других, советуют использовать парольную фразу, состоящую из трех или четырех случайных слов для дополнительной безопасности. Однако более длинную парольную фразу, состоящую из несвязанных слов, может быть трудно запомнить, поэтому вам следует подумать об использовании менеджера паролей.

Подробнее:  Надежные пароли не так просты, как добавление 123. Вот что говорят эксперты, которые действительно помогают

Серьезно, не используйте пароли повторно

Стоит повторить, что повторное использование паролей для разных учетных записей — ужасная идея. Если кто-то узнает ваш повторно используемый пароль для одной учетной записи, у него будет ключ ко всем другим учетным записям, для которых вы используете этот пароль.

То же самое касается изменения пароля root, который меняется при добавлении префикса или суффикса. Например, PasswordOne, PasswordTwo (оба плохи по нескольким причинам).

Подбирая уникальный пароль для каждой учетной записи, хакеры, взломавшие одну учетную запись, не смогут использовать ее для доступа ко всем остальным.

Избегайте использования заведомо украденных паролей

Хакеры могут без особых усилий использовать ранее украденные или иным образом раскрытые пароли в автоматических попытках входа в систему, называемых вбросом учетных данных, для взлома учетной записи. Если вы хотите проверить, не был ли пароль, который вы планируете использовать, уже раскрыт в результате взлома, перейдите в раздел «Я был взломан» и введите пароль.

Нет необходимости периодически сбрасывать пароль

В течение многих лет изменение паролей каждые 60 или 90 дней было общепринятой практикой, потому что считалось, что именно столько времени требуется, чтобы взломать пароль.

Но теперь Microsoft рекомендует, если вы не подозреваете, что ваши пароли были раскрыты, вам не нужно периодически менять их. Причина? Многие из нас, будучи вынуждены менять свои пароли каждые несколько месяцев, приобрели бы плохую привычку создавать легко запоминающиеся пароли или записывать их на стикерах и прикреплять к своим мониторам.

Используйте двухфакторную аутентификацию… но старайтесь избегать кодов текстовых сообщений

Если воры украдут ваш пароль, вы все равно можете помешать им получить доступ к вашей учетной записи с помощью двухфакторной аутентификации (также называемой двухэтапной проверкой или 2FA) , средство защиты, которое требует от вас ввода второй части информации, которая есть только у вас (обычно это одноразовый код), прежде чем приложение или служба выполнит вход в систему.

Приложение Google Authenticator повышает вашу безопасность.

Джейсон Сиприани/CNET

Таким образом, даже если хакер узнает ваши пароли, без вашего доверенного устройства (например, вашего телефона) и кода подтверждения, подтверждающего, что это действительно вы, он не сможет получить доступ к вашей учетной записи.

Хотя получение этих кодов в текстовом сообщении на мобильный телефон или при звонке на стационарный телефон является обычным и удобным, хакеру достаточно просто украсть ваш номер телефона путем мошенничества с подменой SIM-карты, а затем перехватить ваш проверочный код.

Гораздо более безопасный способ получения кодов подтверждения — генерировать и получать их самостоятельно с помощью приложения для аутентификации, такого как Authy, Google Authenticator или Microsoft Authenticator. А после настройки вы можете зарегистрировать свое устройство или браузер, чтобы вам не нужно было подтверждать их каждый раз при входе в систему.

Когда дело доходит до безопасности паролей, ваша лучшая защита — это проактивность. Это включает в себя знание того, находятся ли ваша электронная почта и пароли в даркнете. И если вы обнаружите, что ваши данные были раскрыты, мы расскажем вам, что делать, если хакеры получили доступ к вашим банковским счетам и счетам кредитных карт.

Что такое надежный пароль?

Рабочий стол предприятия

К

  • Кэти Террелл Ханна

Что такое надежный пароль?

Надежный пароль — это пароль, который трудно подобрать человеку или программе. Поскольку цель пароля — гарантировать, что только авторизованные пользователи могут получить доступ к ресурсам, пароль, который легко угадать, представляет собой угрозу кибербезопасности.

Когда люди создают учетные данные для входа, они часто пренебрегают целью, создавая запоминающийся пароль. Они выбирают свои имена, номера телефонов, дни рождения или даже само слово «пароль», наиболее часто используемый пароль на протяжении многих лет.

Теперь, когда многие политики паролей требуют включения числа, наиболее распространенным паролем является «password1».

Вместо этого лучший способ предотвратить утечку данных, выявить кражу или другой несанкционированный доступ к личной информации — создать сложные длинные пароли.

Надежный пароль — еще один способ предотвратить кражу личных данных.

Какой пароль считается надежным?

Важными компонентами безопасного пароля являются не обычные слова, которые легко угадать, а достаточная длина и сочетание специальных символов, цифр, прописных и строчных букв.

Людям нравится использовать пароли, которые будет легко запомнить, поэтому простой способ создать новый пароль, который будет одновременно безопасным и легким для запоминания, — это использовать общую парольную фразу и преобразовать ее в пароль.

Таким образом, пример пароля может быть таким: «У меня есть 2 лабрадора-ретривера! Фидо и Спот», что можно выразить как Ih3Lr!F+S.

Как крадут пароли?

Существует несколько способов кражи паролей и других конфиденциальных данных, но два наиболее распространенных способа — фишинг и атака методом грубой силы.

Фишинг

Фишинг — это процесс, при котором киберпреступники используют запугивание, страх или уловки с помощью социальной инженерии, чтобы заставить пользователя раскрыть свой пароль или конфиденциальную информацию.

Например, преступник может выдать себя за представителя счета кредитной карты человека, заявив ему, что со счета было произведено незаконное списание средств. Затем они просят вас войти по ссылке на поддельную версию веб-сайта банка, чтобы проверить платежи.

Как только они отправляют учетные данные жертвы, они перехватывают данные.

Фишинг — распространенный метод кражи паролей.

Атака грубой силой

При атаке полным перебором хакер может попытаться вручную угадать вашу учетную запись или использовать взломщик паролей, чтобы пробовать комбинации паролей, пока не найдет правильный.

Шестисимвольный пароль с одним регистром имеет 308 миллионов возможных комбинаций, все замены которых взломщик паролей может выполнить всего за несколько минут.

Однако сочетание прописных и строчных букв и использование восьми символов вместо шести увеличивает количество возможных комбинаций до 53 триллионов; замена одной из букв числом дает 218 триллионов возможных комбинаций, а замена специального символа или знака препинания на другой дает 6095 триллионов возможных комбинаций.

Хотя взломщик паролей может в конечном итоге перебрать такое количество комбинаций, хакерам требуется гораздо больше времени и вычислительной мощности, чтобы взломать более сложный пароль. Для организаций это дополнительное время может иметь жизненно важное значение для предотвращения утечки данных.

Дополнительные советы по повышению безопасности в Интернете

Хотя создание надежного пароля для каждой учетной записи может показаться обременительным, есть несколько способов упростить эту задачу и одновременно создать дополнительный уровень безопасности.

Использовать диспетчер паролей

Если создание и запоминание сложных паролей кажется слишком сложным для выполнения или принудительного применения сотрудниками, рассмотрите возможность использования приложения для управления паролями.

Эти приложения поставляются с уникальным генератором паролей, который будет создавать (и хранить) сложные длинные пароли для каждого приложения или веб-сайта.

Их также часто называют приложениями единого входа (SSO), поскольку они требуют, чтобы пользователь входил в систему только с мастер-паролем. Приложение автоматически войдет в систему пользователя, когда он посетит один из предварительно запрограммированных сайтов.

Это избавляет пользователя от необходимости запоминать многочисленные пароли, повышая вашу безопасность. Эти приложения для управления паролями можно использовать для любого сайта, для которого требуется пароль, включая веб-сайты социальных сетей, рабочие инструменты и носители электронной почты.

Многие операционные системы, такие как Microsoft Windows и iOS, поставляются с дополнительными менеджерами паролей. Однако есть и сторонние SSO-приложения. Примеры включают LastPass, Dashlane и NordPass.

Использовать многофакторную аутентификацию

Другим способом повышения безопасности является двухфакторная или многофакторная проверка подлинности, в которой используется дополнительная мера входа перед предоставлением пользователям доступа к сайту или учетной записи в Интернете.

Хотя этого самого по себе недостаточно для замены слабого пароля, он добавляет еще один уровень безопасности к надежному паролю.

Как правило, это приложение, загруженное на мобильный телефон, где пользователь может ввести учетные данные для входа или использовать биометрическое устройство, например отпечаток большого пальца.

Использовать VPN

При подключении к Интернету через общедоступный источник Wi-Fi через мобильное устройство или ноутбук хакеры могут легко использовать ту же сеть Wi-Fi для перехвата личных данных, передаваемых по сети.

Отличный способ избежать этого — использовать виртуальную частную сеть (VPN), которая создает зашифрованное сетевое соединение. Пользователи могут использовать VPN, чтобы обеспечить себе большую конфиденциальность в Интернете или обойти цензуру по географическому признаку.

Использовать антивирусное программное обеспечение

Хотя антивирусное программное обеспечение не обязательно поможет пользователям укрепить свой пароль, оно может помочь вам укрепить другие средства защиты от кибербезопасности.

Если злоумышленник может взломать вашу учетную запись или систему, хорошая антивирусная программа сможет обнаружить и остановить его.

Узнайте больше о том, как предотвратить атаки на пароли и другие эксплойты, а также о передовых методах кибербезопасности для защиты вашего бизнеса.

Последнее обновление: ноябрь 2021 г.


Продолжить чтение О надежном пароле

  • Создание надежной политики паролей Active Directory
  • 5 советов по управлению паролями для клиентов MSP
  • 3 шага для создания удобной аутентификации
  • Создание и применение политики паролей на предприятии
  • Двусторонняя модель защиты паролем для торговых партнеров

Копните глубже в области безопасности и управления Windows 10

  • Как использовать взломщик паролей John the Ripper

    Автор: Эд Мойл

  • Почему пришло время отменить обязательные политики истечения срока действия паролей

    Автор: Петр Лошин

  • Ключ доступа и пароль: в чем разница?

    Автор: Аманда Хетлер

  • Достаточно ли безопасны пароли длиной не менее 14 символов?

    Автор: Шэрон Ши

Виртуальный рабочий стол


  • Устранение проблем с производительностью VDI с помощью управления ресурсами

    Чтобы улучшить взаимодействие с пользователем, ИТ-отдел может воспользоваться преимуществами конфигураций виртуальных рабочих столов, которые ограничивают использование ресурсов. Это освобождает …


  • Пришло ли время для нового имени для тонких клиентов?

    Рынок тонких клиентов значительно развился до такой степени, что эти конечные точки уже не такие тонкие. Выяснить дело для …


  • Что такое клиентские лицензии RDS и как ИТ-специалисты должны их использовать?

    ИТ-команды полагаются на клиентские лицензии, чтобы убедиться, что пользователи RDS правильно лицензированы для своих сеансов, поэтому они должны знать, как работать с …

SearchWindowsServer


  • Узнайте о преимуществах гиперконвергентной инфраструктуры Azure Stack для администраторов.

    Предложение гиперконвергентной инфраструктуры обещает уменьшить головную боль, связанную с запуском виртуализированных рабочих нагрузок на …


  • Совершенствуйте навыки автоматизации с помощью Административного центра AD

    Возможно, вы знаете, что PowerShell можно использовать для выполнения повторяющихся задач Active Directory.

Читайте также: