Как создать надежный пароль


Как создать и запомнить надёжный пароль

Большинство злоумышленников не заморачиваются с изощрёнными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с четырёх попыток.

Как такое возможно? Очень просто. Вы пробуете четыре самые распространённые в мире комбинации: password, 123456, 12345678, qwerty. После такого прохода в среднем открывается 1% всех «ларчиков».

Допустим, вы попадаете в те 99% пользователей, чей пароль не столь прост. Даже в таком случае необходимо считаться с производительностью современного программного обеспечения для взлома.

Бесплатная программа John the Ripper, находящаяся в свободном доступе, позволяет проверять миллионы паролей в секунду. Отдельные образцы специализированного коммерческого ПО заявляют о мощности в 2,8 миллиарда паролей в секунду.

Изначально программы для взлома прогоняют список из статистически наиболее распространённых комбинаций, а затем обращаются к полному словарю. С течением времени тенденции пользователей в выборе паролей могут слегка меняться, и эти изменения учитываются при обновлении таких списков.

Со временем всевозможные веб-сервисы и приложения решили принудительно усложнить пароли, создаваемые пользователями. Добавились требования, согласно которым пароль должен иметь определённую минимально длину, содержать цифры, верхний регистр и специальные символы. Некоторые сервисы отнеслись к этому настолько серьёзно, что придумывать пароль, который приняла бы система, приходится реально долго и нудно.

Ключевая проблема в том, что практически любой пользователь не генерирует действительно устойчивый к подбору пароль, а лишь пытается по минимуму удовлетворить требования системы к составу пароля.

В результате получаются пароли в стиле password1, password123, Password, PaSsWoRd, password! и невероятно непредсказуемый [email protected]

Представьте, что вам нужно переделать пароль spiderman. С большой вероятностью он примет вид наподобие $pider_Man1. Оригинально? Тысячи людей изменят его по такому же, либо очень схожему алгоритму.

Если взломщик знает эти минимальные требования, то ситуация лишь усугубляется. Именно по этой причине навязанное требование к усложнению паролей далеко не всегда обеспечивает лучшую безопасность, а зачастую создаёт ложное чувство повышенной защищённости.

Чем легче пароль для запоминания, тем более вероятно его попадание в словари программ-взломщиков. В итоге получается так, что действительно надёжный пароль просто невозможно запомнить, а значит, его нужно где-то фиксировать.

По мнению экспертов, даже в нашу эпоху цифровых технологий люди по-прежнему могут полагаться на листочек бумаги с записанными на нём паролями. Такой лист удобно держать в скрытом от посторонних глаз месте, например в кошельке или бумажнике.

Впрочем, лист с паролями не решает проблему. Длинные пароли тяжело не только помнить, но и вводить. Ситуацию усугубляют виртуальные клавиатуры мобильных устройств. 

Взаимодействуя с десятками сервисов и сайтов, многие пользователи оставляют за собой вереницу идентичных паролей. Они пытаются использовать один и тот же пароль для каждого сайта, полностью игнорируя риски.

В данном случае некоторые сайты выступают в роли няньки, принуждая усложнять комбинацию. В итоге пользователь просто не может вспомнить, каким образом ему пришлось видоизменить свой стандартный единый пароль для данного сайта.

Масштаб проблемы получилось полностью осознать в 2009 году. Тогда из-за дыры в безопасности хакеру удалось украсть базу логинов и паролей RockYou.com — компании, издающей игры на Facebook. Злоумышленник поместил базу в открытый доступ. Всего в ней содержалось 32,5 миллиона записей с именами пользователей и паролями к аккаунтам. Утечки случались и ранее, но масштабность именно этого события показала картину целиком.

Самым популярным паролем на RockYou.com оказалась комбинация 123456. Её использовали почти 291 000 людей. Мужчины до 30 лет чаще предпочитали сексуальную тематику и пошлости. Более взрослые люди обоих полов зачастую обращались к той или иной сфере культуры при выборе пароля. Например, Epsilon793 кажется не таким уж плохим вариантом, вот только эта комбинация была в Star Trek. Семизначный 8675309 встречался много раз, потому что этот номер фигурировал в одной из песен Tommy Tutone.

На самом деле создание надёжного пароля — задача простая, достаточно составить комбинацию из случайных символов.

Вы не сможете создать идеально случайную комбинацию в математическом понимании в своей голове, но от вас это и не требуется. Существуют специальные сервисы, генерирующие действительно случайные комбинации. К примеру, random.org может создавать такие пароли:

  • mvAWzbvf;
  • 83cpzBgA;
  • tn6kDB4T;
  • 2T9UPPd4;
  • BLJbsf6r.

Это простое и изящное решение, особенно для тех, кто использует менеджер для хранения паролей.

К сожалению, большинство пользователей продолжают использовать простые ненадёжные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.

Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на 3 большие категории:

  • Случайные, при которых пароль пытается узнать знакомый вам человек, опираясь на известную ему информацию о вас. Зачастую такой взломщик хочет лишь подшутить, узнать что-то о вас либо подгадить.
  • Массовые атаки, когда жертвой может стать абсолютно любой пользователь тех или иных сервисов. В данном случае используется специализированное ПО. Для атаки выбираются наименее защищённые сайты, позволяющие многократно вводить варианты пароля за короткий промежуток времени.
  • Целенаправленные, сочетающие в себе получение наводящих подсказок (как в первом случае) и использование специализированного ПО (как при массовой атаке). Здесь речь идёт о попытке заполучить действительно ценную информацию. Защититься поможет только достаточно длинный случайный пароль, на подбор которого уйдёт время, сравнимое с длительностью вашей жизни.

Как видите, жертвой может стать абсолютно любой человек. Утверждения типа «мой пароль не будут красть, потому что я никому я нужен» не актуальны, потому что вы можете попасть в подобную ситуацию совершенно случайно, по стечению обстоятельств, без каких-либо видимых причин.

Еще серьёзнее стоит относиться к защите паролей тем, кто обладает ценной информацией, связан с бизнесом либо находится с кем-то в конфликте на финансовой почве (например, раздел имущества в процессе развода, конкуренция в бизнесе).

В 2009 году Twitter (в понимании всего сервиса) был взломан лишь потому, что администратор использовал в качестве пароля слово happiness. Хакер подобрал его и разместил на сайте Digital Gangster, что привело к угону аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.

Акронимы

Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надёжные комбинации, которые можно без проблем запомнить?

На данный момент наилучшим сочетанием надёжности и удобства является конвертация фразы или словосочетания в пароль.

Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.

Однако, поскольку в качестве изначальных фраз будут использоваться самые известные, программы со временем получат эти акронимы в свои списки. Фактически акроним содержит только буквы, а потому объективно менее надёжен, чем случайная комбинация символов.

Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то шутки и высказывания, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте её.

И всё равно вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определённых букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.

Обратный способ

Выходом может стать обратный способ генерации. Вы создаёте в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.

Часто сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит чуть приглядеться, и становится очевидно: пароль помнить и не нужно. Для примера возьмём очередной вариант с random.org — RPM8t4ka.

Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые три буквы в нём заглавные, а следующие три — строчные. 8 — это дважды (по-английски twice — t) 4. Посмотрите немного на этот пароль, и вы обязательно найдёте собственные ассоциации с предложенным набором букв и цифр.

Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.

Случайный пароль — это золотой стандарт в информационной безопасности. Он по определению лучше, чем любой пароль, придуманный человеком.

Минус акронимов в том, что со временем распространение такой методики снизит её эффективность, а обратный метод останется столь же надёжным, даже если все люди земли будут использовать его тысячу лет.

Случайный пароль не попадёт в список популярных комбинаций, а злоумышленник, использующий метод массовой атаки, подберёт такой пароль только брутфорсом.

Берём несложный случайный пароль, учитывающий верхний регистр и цифры, — это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62 ^ 8 = 218 триллионов вариантов.

Даже если количество попыток в течение определённого временного промежутка не ограничено, самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор нужной комбинации. Для уверенности добавляем в такой пароль всего 1 дополнительный символ — и на его взлом понадобятся уже многие годы.

Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом.

Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.

Единая надёжная основа

Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса надёжности и удобства хорошо покажет себя «философия одного надёжного пароля».

Принцип заключается в том, что вы используете одну и ту же основу — супернадёжный пароль (его вариации) на самых важных для вас сервисах и сайтах.

Запомнить одну длинную и сложную комбинацию по силам каждому.

Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищён.

Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов — им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечёт каких-то фатальных последствий.

Понятно, что надёжную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka.

Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему банковскому аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.

Секретный вопрос

Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите восстановить его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.

В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент ещё и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?».

Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.

Вы уже догадались о сути.

Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные.

Вопрос даже не в том, что эту информацию можно аккуратно выудить в интернете или у приближённых персоны. Ответы на вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.

В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991.

Впрочем, подобный приём, если найдёт широкое распространение, будет учтён в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.

На самом деле нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос нестандартный, а ответ на него известен только вам и не угадывается с трёх попыток, то всё в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.

PIN

Personal Identification Number (PIN) — дешёвый замок, которому доверены наши деньги. Никто не беспокоится о том, чтобы создать более надёжную комбинацию хотя бы из этих четырёх цифр.

А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?

По оценкам Ника Берри, 11% населения США использует в качестве PIN-кода (там, где есть возможность самому его изменить) комбинацию 1234.

Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленькую длину кода).

Берри взял списки появлявшихся после утечек в сети паролей, представляющих собой комбинации из четырёх цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так. Второй по популярности PIN — это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).

Предположим, что у знающего эту информацию человека в руках чья-то банковская карта. Три попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шансов угадать PIN, если он последовательно введёт 1234, 1111 и 0000.

Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами.

Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Часто PIN представляет собой какой-то год (год рождения или историческая дата).

Многие любят делать PIN в виде повторяющихся пар цифр (причём особо популярны пары, где первая и вторая цифры отличаются на единицу).

Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 — для её набора достаточно сделать прямой проход сверху вниз по центру.

В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.

Итог

  1. Зайдите на random.org и создайте там 5–10 паролей-кандидатов.
  2. Выберите пароль, который вы сможете превратить в запоминающуюся фразу.
  3. Используйте эту фразу для того, чтобы вспомнить пароль.

Читайте также:

lifehacker.ru

Создаем самый надежный пароль и запоминаем его | Библиотека программиста

“Используйте сильный пароль” – совет, который часто мелькает в сети. Эта статья о том, как создать надёжный пароль и запомнить его.

В этом вам может помочь менеджер паролей, умеющий создавать сильные пароли и запоминать их. Но даже если вы используете менеджер, вам всё равно необходим мастер-пароль для него.

Работаем с паролями – лёгкий путь

В наши дни существует огромное количество веб-сайтов, и наверняка у вас есть учётные записи на многих из них. Скорее всего, ваши пароли либо продублированы для каждой учётной записи, либо созданы по определённому шаблону. С точки зрения безопасности это крайне неудовлетворительно, ведь человек, подобравший пароль к одному из ваших аккаунтов, подберёт его и к остальным.

В таком случае на помощь приходит менеджер паролей – чтобы хранить десятки своих паролей в одном месте, вам достаточно знать всего лишь один, мастер-пароль.

Есть множество менеджеров, однако Dashlane, пожалуй, лучший выбор для среднестатистического пользователя. У Dashlane существуют приложения практически под все платформы, они интегрируются в любой браузер, и менеджер бесплатен для использовании основных функций. Если вы хотите синхронизировать пароли между различными устройствами, нужно перейти на премиум-аккаунт.

В менеджеры паролей встроены такие функции, как общая оценка безопасности, генератор паролей и др. Если вы серьезно относитесь к компьютерной безопасности, вы должны везде использовать надёжные пароли. Самый лёгкий способ делать это – использовать Dashlane.

Также в перечень хороших менеджеров паролей входит KeePass, представленный на всех основных платформах. База паролей шифруется AES-256 с возможным использованием многоходового преобразования ключа, что увеличивает стойкость программы к прямым атакам и делает ее намного надежнее других ПО.

Roboform – программа, которая поддерживает более 30 языков, доступна для Windows и MacOS, есть приложения для мобильных платформ iOS, Android, а также плагины для браузеров. Позволяет работать с базой данных офлайн. База шифруется AES-256 и синхронизируется на облаке.

Lastpass – облачный сервис, шифрующий базы данных по стандарту AES-256. Поддерживает плагины для основных браузеров. Есть приложения для мобильных платформ iOS, Android и проч. Работает только онлайн. Портативный клиент Windows позволяет загружать базу и работать с ней офлайн.

Традиционные критерии для пароля

В наши дни подобрать пароль из десятка символов не является проблемой для хорошего компьютера. Короткие пароли (даже те, которые составлены рандомно, например “Ui90_k$S” или “!po!_Y&2n0”) недостаточно надёжны для использования. Возможно, последующие критерии покажутся слишком очевидными и банальными, однако по статистике меньше 20% пользователей используют сложно взламываемые пароли.

Минимум 12 символов: вам нужно выбрать длинный пароль. Не существует минимальной длины пароля, которая всех бы устраивала, однако обычно используют длину от 12 до 14 символов. Более длинный пароль будет ещё лучше.

Состоит из цифр, специальных символов, заглавных и строчных букв: используйте различные комбинации символов, чтобы сделать пароль более сложным.

Не является словарным словом или комбинацией словарных слов: избегайте очевидных словарных слов или их комбинаций. Любое слово в пароле само по себе плохо. Любая комбинация слов тоже плоха. Например, “house” – ужасный пароль, “red house” – тоже.

Нет очевидных замен: не используйте подстановки цифр вместо букв, например, “h0use”.

Diceware

Существует всего несколько паролей, которые должны быть сильными и которые вам необходимо запомнить:

  • пароль от вашего девайса;
  • пароль для шифрования/расшифровки (например, жёсткого диска);
  • мастер-пароль или парольная фраза для менеджера паролей;
  • пароль от E-mail.

При выборе пароля у людей возникают сложности, т.к. большинство из них не умеет создавать случайные и сильные пароли. Если у вас есть такая проблема, чтобы исправить её, можете попробовать метод Diceware. Его суть проста: человек бросает игральные кости, чтобы случайным образом выбрать несколько слов из списка. Выбранные слова образуют парольную фразу. Видео по подбору пароля этим методом вы можете посмотреть здесь.

Это отличный способ сгенерировать последовательность, потому что такой метод действительно гарантирует вам случайную комбинацию слов. К тому же, образованную фразу будет легко запомнить.

Запоминающийся пароль: приём для генерации

С приведёнными выше критериями довольно легко придумать последовательность. Просто попробуйте набрать что-нибудь рандомное, например 3o(t&gSp&3hZ4#t9. Это неплохой пароль – 16 символов, включает в себя сочетание разных типов символов, и его трудно угадать, потому что символы никак не связаны между собой. Чтобы создавать подобные последовательности, пользуйтесь генераторами паролей.

Проблема лишь в том, как такой пароль запомнить. Если предположить, что у вас отсутствует фотографическая память, вам бы пришлось потратить изрядное количество времени, чтобы выучить эту последовательность. Вам нужно придумать такой пароль, чтобы он ассоциировался с каким-либо событием или предметом. Например, гораздо легче будет запомнить предложение “The first house I ever lived in was 613 Fake Street. Rent was $400 per month.” и превратить его в пароль, используя первую букву каждого слова: TfhIeliw613FS.Rw$4pm. Это сильный пароль на 21 значение.

Да, поистине рандомная последовательность должна включать в себя больше цифр и специальных символов, однако эта тоже неплоха. Лучше всего в нём то, что он легко запоминается.

Источник

Статьи по теме:

proglib.io

Создание надежного пароля

Ненадежный пароль может легко перечеркнуть все ваши дальнейшие усилия по защите ваших конфиденциальных данных, потому эта глава вынесена в начало и без громких слов является фундаментом данной книги.

Первым делом я предлагаю вам пройти тест и узнать, насколько надежен ваш действующий пароль.

Использование надежных паролей далеко не такой простой вопрос, как может показаться с первого взгляда. И хотя большинство пользователей знают фундаментальные требования к надежному паролю, в повседневной жизни забывают о них, предпочитая надежному паролю простой и легко запоминающийся.

В главе об ошибках хакеров, приводивших к их аресту, я рассказывал, как одного из самых разыскиваемых ФБР хакеров Джереми Хэммонда сгубил простой пароль на зашифрованный диск. Владельца Silk Road Росса Ульбрихта погубило то, что агенты ФБР, получив его компьютер, обнаружили там записанные пароли в открытом виде. В этой части мы научим и создавать надежные пароли, и надежно хранить их.

Первым шагом я предлагаю все пароли разделить по степени важности: высокая степень важности и обычная степень важности.

Для чего используются пароли высокой степени важности? Для особо важных вам сайтов, криптоконтейнеров или программ. Я использую четыре пароля повышенной важности. Первый, второй и третий – пароли для расшифровки жесткого диска и информации на нем, а также для расшифрования информации на зашифрованных внешних жестких дисках (третий пароль – пароль к «двойному дну»). Четвертый – пароль для получения доступа к остальным паролям в менеджере паролей KeePassXC, о котором мы поговорим в этой части.

Пароли высокой степени важности должны храниться только в голове и быть максимально надежными. Пароли высокой степени важности не должны быть где-либо записаны.

Не пугайтесь, если некоторые термины для вас пока не понятны, если вы пока не шифруете свои жесткие диски, не понимаете, что такое «двойное дно» криптоконтейнера, и у вас нет менеджера паролей. В процессе работы с данным курсом вы шаг за шагом научитесь всему и сможете надежно защитить данные.

Самые важные пароли должны быть максимально надежными и храниться только у вас в голове.

Пароли обычной степени важности – это все остальные используемые вами пароли, например пароли к социальным сетям, электронной почте, сайтам, мессенджерам. Однако важность и ценность того или иного пароля определяете вы. Может быть, вы политический переворот в вашей стране по электронной почте обсуждаете и ваша страна – это КНДР, где за такое людей живьем подрывают, закладывая снаряд в толстый кишечник.

Давайте я обрисую вам схему правильной работы с паролями. Вся информация на вашем компьютере должна быть зашифрована, и для ее дешифрования вам нужно будет вводить пароль. Это пароль высокой степени важности, его вы храните в своей голове.

Вы расшифровали жесткий диск, все ваши пароли обычной степени важности хранятся в зашифрованном файле ключей менеджера паролей. Для расшифрования этого файла также используется пароль высокой степени важности.

Теперь поговорим о создании практически неподбираемых паролей. «Практически неподбираемых», потому как в теории можно рано или поздно подобрать любой пароль, но время подбора может занять не одну тысячу лет.

Требования к надежному паролю:

  • Это не должны быть слова или фразы. Пароль аткси1387_1 всегда будет более надежным, нежели такси1387_1.
  • Это не должны быть даты, особенно знаковые даты.
  • Пароль должен содержать никак не менее 20 символов. И это не такой уж и длинный пароль, например, 20 символов в слове «звуковоспроизведение».
  • Пароль должен включать буквы верхнего и нижнего регистра, более одной цифры, специальные символы.
  • Этот пароль не должен содержать информацию, связанную с вами, адрес, клички домашних животных, дату рождения, номер телефона, любимую команду.

Придумать надежный пароль, который бы соответствовал всем требованиям выше и в то же время был максимально простым для запоминания, – не самая простая задача. Я предлагаю не откладывать ее в долгий ящик, возьмите ручку и бумагу, прочитайте мою историю создания пароля, а затем сами придумайте себе несколько надежных паролей.

Как я придумывал свой пароль

Первым делом я придумал слово, которое не знал ни Google, ни толковый словарь, это было слово «dortarulin», для усложнения ситуации я заменил i на 1, вышло «dortarul1n».

Дальше нужно было добавить буквы верхнего регистра. Довольно часто в таких ситуациях используют или первую букву заглавной, или первую с последней (ПримеР), или через одну (ПрИмЕр). Мне кажется, что это излишне очевидные варианты, и я написал слово так: «dortArul1N» ‒ никакой логики в чередовании букв верхнего и нижнего регистра.

Не советую использовать зеркальные раскладки при создании пароля. Зеркальная раскладка – это ввод данных, когда, выбирая английскую раскладку клавиатуры, вы вводите слово, например на русском, ориентируясь на кириллические буквы (Ghbdtn - Привет). Причин тут несколько: во-первых, системы подбора пароля хорошо знакомы с этим приемом, а во-вторых, вам, может, придется вводить пароль на клавиатуре без кириллицы, например на планшете – и что вы будете делать? Я рекомендую использовать в пароле только латинские буквы.

Моему паролю не хватало специальных символов (;.%^&), да и до 20 знаков я пока не дотягивал. Тогда я решил добавить к паролю уравнение 4х(16+y)=? – вышло dortArul1N_4х(16+y)=?. Это 21 символ и это очень надежный пароль.

Как я учил придуманный пароль

Когда ты придумываешь пароль самостоятельно, учить его не очень сложно. Лично я в первый день много раз написал пароль на бумаге, затем на протяжении недели писал его каждое утро и через неделю я уже уверенно воспроизводил свой пароль на бумаге.

Вам придется создать и выучить несколько сложных паролей, от этого вам не уйти. Помните, что создать и выучить один пароль и начать использовать его везде – плохой путь, грош цена такой безопасности.

Использование одного пароля на нескольких ресурсах или модификации одного пароля довольно распространено. Действительно, это просто, это удобно, и в случае с модификацией относительно безопасно. Что такое модификация? Например, на одном ресурсе у вас пароль Kireev1000, на другом Kireev2000. Если кто-то случайно получит доступ к вашему паролю Kireev1000, то не сможет использовать его для доступа к другим вашим данным с паролем Kireev2000, но с другой стороны, если кто-то захочет подобрать ваш пароль с помощью специального программного обеспечения, он его подберет.

К сожалению, многие используют пароль не только ненадежный, но и один пароль на нескольких ресурсах. Некоторые ресурсы специально созданы для сбора логинов и паролей. Представим себе ситуацию: вы нашли интересный сайт и решили зарегистрироваться на нем. При регистрации у вас запрашивают действующий email и просят ввести пароль, а этот сайт принадлежит злоумышленникам, и все данные попадают к ним в руки. Они автоматически проверяют эту связку email/пароль на доступ к социальным сетям, популярным сервисам, проверяют, не подходит ли указанный пароль к вашей почте. Если подойдет, то злоумышленники будут использовать ваши аккаунты и почту для распространения спама или продадут их на черном рынке.

Каждый пароль должен быть уникальным, пароли не должны быть похожими. Ни в коем случае не используйте один и тот же пароль в двух местах.

Еще раз повторяю: использовать везде один и тот же пароль или один пароль с незначительными изменениями – грубейшая ошибка, способная перечеркнуть все ваше стремление оставаться анонимным в сети и защитить свою конфиденциальную информацию. Использовать простые пароли – еще хуже. Как здание надо начинать строить с фундамента, так и работу над анонимностью в сети и безопасностью данных надо начинать с надежных паролей.

Регулярная смена паролей

Закончить эту главу хочу информацией о не самой любимой пользователями процедуре – регулярной смене паролей. К сожалению, пароли периодически нужно менять – об этой процедуре многие забывают или просто ленятся делать это.

Иногда даже возникают споры, мол, зачем это надо, пароль ведь не «портится» со временем. Объясняю: это делается для защиты паролей, от «скрытых» утечек данных, которые очень часто происходят на уровне компаний и сервисов. В конце этой части будет достаточно примеров утечек, о которых нам стало известно. Но известно нам только о хакерских взломах, когда злоумышленники выкладывали взломанные данные в открытый доступ. Нам также хорошо известно, что в этом направлении работают и спецслужбы различных стран мира, и вот они точно не станут сообщать о своих успехах, взломах и утечках.

Потому рекомендуется менять все пароли раз в шесть месяцев, если это очень сложно для вас, то проводите плановую смену паролей хотя бы раз в год. Плановая смена паролей предполагает полное изменение всех используемых вами паролей.

Обязательно проводите регулярную смену всех паролей раз в шесть месяцев, если раз в шесть месяцев для вас очень тяжело, то хотя бы один раз в год.
Page 2

Каналы CyberYozh security group

1 143 members

По всем вопросам пишите @cyberyozh

If you have Telegram, you can view and join Каналы CyberYozh security group right away.

book.cyberyozh.com

Надёжный пароль - как создать? Программы для хранения паролей

Приветствую всех! Опытные инвесторы знают, что в целях диверсификации рисков нужно работать сразу с несколькими компаниями, а значит в каждой нужно регистрироваться и использовать надежный пароль. Для соцсетей, например, тоже не помешает хорошая защита… В общем, тема более чем актуальная, так что сегодня и поговорим о том, какой же пароль будет достаточно сложным для хакеров, как его запомнить, а также как хранить много сложных паролей удобно и в надёжном месте.

Содержание статьи:

Как хакеры взламывают пароли

Мне сразу вспоминается сериал «Шерлок» (4 сезон в январе ура-ура), где наш гениальный детектив всего за несколько попыток смог разгадать весьма нетривиальный пароль на телефоне Ирен Адлер:

Выбери она любую случайную комбинацию из четырёх букв и цифр — вряд ли даже у Шерлока Холмса что-то получилось бы. Вообще киношники любят вставлять такие сцены (вспомните любой другой фильм с отгадыванием пароля), но самое интересное, что и в жизни подобное очень даже работает. Такой метод взлома называется логическим угадыванием — и основывается на известной информации о пользователе.

Если злоумышленник знает имя, фамилию и дату рождения — он за несколько минут может перебрать возможные комбинации и взломать пароль, в котором используется эта информация.  Ну что, наверняка же используете хотя бы один такой? :)

Кстати, а вы знаете, какие пароли встречаются чаще всего? В сети я нашел такую табличку с примерами самых популярных паролей:

Как видите, в основном это простые комбинации цифр и букв. Частота здесь не указана, но допустим если хотя бы 1% пользователей использует примитивный пароль 123456 — сколько аккаунтов сможет взломать хакер на большом сервисе? А если прогнать все известные популярные пароли? Вот именно…

Между прочим, существуют специальные словари паролей, которые можно скачать из Интернета. К счастью, популярные сайты уже давно требуют от пользователей хотя бы минимально усложнять вводные данные — использовать заглавные и строчные буквы, как минимум пару цифр и проверяют, чтобы пароль не был в тех же словарях.

Тем не менее, этого может быть недостаточно, если хакер обладает большими ресурсами и специальными программами. Так называемый метод грубой силы позволяет отгадывать пароли простым перебором всех возможных комбинаций, современные возможности компьютеров вполне это позволяют.

Чем больше используется разных символов (заглавные и строчные буквы, цифры, точки/тире/запятые и т.д.) и чем длиннее пароль — тем больше времени понадобится компьютеру, чтобы проверить все возможные варианты. Сколько же? Допустим, в пароле используются только строчные английские буквы и цифры, тогда ситуация такая:

Как видите, пароль меньше 7 символов вполне можно взломать за один день, а 7-символьный ломается за недельку, если хакеру повезет — ещё быстрее. В общем, примерно так выглядит сложность паролей для метода грубой силы, выводы я думаю очевидны.

Впрочем, даже если вы создадите хороший, сложный пароль, есть и обходные способы для его взлома. Например, на почту приходит письмо с фразой вроде «для вывода денег пришлите свой пароль для проверки», разумеется этого делать ни в коем случае не следует! Администрация любого сайта или сервиса никогда не будет спрашивать ваш пароль, он и так у них есть в базе данных.

Еще один способ получить пароль — каким-то образом «подсмотреть» его. В детстве, когда я ходил в компьютерный клуб, это было реальной проблемой — вокруг куча людей и ввести пароль от своего игрового аккаунта так, чтобы никто не подсмотрел его, было непросто. Случаи краж игровой валюты и вещичек случались :)

Злоумышленники также могут подсадить на ваш компьютер программу-троян, которая записывает, что вы вводите с клавиатуры. Для защиты от подобной атаки, разумеется, нужно использовать антивирус.

Ну вот, теперь вы знаете самые простые способы взлома ваших данных. Как же от них защититься и создать сложный и надежный пароль?

↑ К СОДЕРЖАНИЮ ↑

Как создать и запомнить надежный пароль

Как мы уже выяснили, длина пароля должна быть не меньше 8 знаков, причём очень желательно, чтобы в нём использовались разные типы символов:

  • строчные буквы — a,b,c…;
  • заглавные буквы — A, B, C…;
  • цифры — 0,1,2…;
  • знаки препинания — запятая, тире, знак вопроса и т.д.;
  • специальные символы — @, #, $, % и т.д.

Проверить сложность пароля можно, например, на сайте Лаборатории Касперского, выглядит довольно живенько:

Пароль необязательно создавать вручную, существует куча сайтов, где можно это сделать, просто введите в поисковой системе запрос «генератор паролей» — вам выдаст большой список. Конечно, возникает вопрос — а не записывает ли конкретный сайт введённые пароли? Даже если так, еще нужно знать логин, да и неизвестно ведь, где вы будете применять полученную комбинацию.

Чтобы все же успокоить свою паранойю, можно сгенерировать пароль на сайте, а потом изменить в нём несколько символов — сложность не поменяется, а риск взлома грубым перебором будет по прежнему очень низким.

Проблема со сгенерированными паролями одна — запомнить хотя бы один довольно сложно, а в идеале-то для каждого сайта нужен уникальный. Один из лучших способов упростить себе задачу — использовать слова на вашем родном языке в английской раскладке, разбавляя их цифрами и знаками.

Вот пример несложного для запоминания, но очень даже качественного пароля. Возьмем русское существительное «утюг» и логически не относящийся к нему глагол «зеленеет». В качестве цифр, допустим, будет год рождения известного писателя — Льва Толстого, 1828. Ну и приправим восклицательным знаком!

Немножко перемешаем — и получаем такой пароль — en.u18!ptktyttn28. Я записал русские слова с использованием английской раскладки, год рождения разбил на 2 части и подставил в конце каждого слова, а посередине восклицательный знак. Вроде бы ничего сложного, но пароль получается весьма качественным:

Можно придумать и другие похожие способы создания пароля — все они дадут отличный результат. Впрочем, это всё равно не помогает следовать правилу 1 сайт — 1 пароль, сложно запомнить больше пяти комбинаций и не начать их использовать по нескольку раз. Получается, необходимо место для хранения важных данных.

↑ К СОДЕРЖАНИЮ ↑

Программы для хранения паролей

Отдельно хочу сказать, что записывать на бумажке и приклеивать к монитору — идея так себе :)

Можно, например записывать пароли в тетрадку, но это не очень удобно — каждый раз нужно вводить пароль вручную да еще и таскать её повсюду с собой. Да и любой, кто увидит вас, заглядывающего в тетрадку и что-то вводящего на компьютере, быстро поймёт что к чему и может попытаться её украсть.

Все же более практично, на мой взгляд, использовать специализированную программу для хранения паролей. Во-первых, их можно хранить прямо в браузере — после первого введения вас спрашивают, нужно сохранять или нет:

Это достаточно удобно, да и получить доступ к хранилищу не так уж просто — главное вовремя обновлять браузер, уязвимости устраняются постоянно. Конечно, есть и свои минусы — если компьютером пользуется еще кто-то, он может легко использовать сохранённые пароли.

В браузере вполне можно хранить не особо важные данные — от каких-нибудь аккаунтов на форумах или бесплатных сервисов, взлом которых не нанесёт вам особого вреда.

Более ценные данные стоит хранить как минимум с дополнительными средствами защиты. Для браузеров есть специальное расширение LastPass, которое делает примерно то же самое, что и сам браузер, но получше. Само хранилище можно заблокировать паролем, вам нужно будет придумать всего один по методу «зеленеющего утюга» и запомнить его.

Минус LastPass в том, что ваши пароли все же находятся на посторонних серверах, и если их взломают (а истории со взломами крупнейших корпораций говорят о том, что никто не застрахован), данные утекут к злоумышленникам.

Более воодушевляющий опыт я получил, работая с обычной программкой для хранения паролей под Windows — KeePass. Она бесплатна и основана на открытом коде, а значит многие программисты её проверяли и не нашли скрытых ходов, позволяющих своровать данные.

Она англоязычная, пожалуй это единственный минус, который я обнаружил до сих пор. Смысл такой — все пароли находятся в базе данных, которая защищена отдельным паролем и файлом-ключом: 

Главный пароль (Master Password) должен быть очень сложным, но поскольку он один — запомнить его легче. База паролей выглядит так:

У меня вот есть несколько групп паролей — Почта, Форекс, Соцсети и т.д, в каждой из них хранятся различные записи. В принципе, всё устроено достаточно просто, особенно если вы знаете английский.

Вероятно, вам хотелось бы получить подробную инструкцию по использованию KeePass. Давайте так — если хотя бы 5 разных человек в комментариях попросит написать статью или спросит что-нибудь про программу для хранения паролей, я буду считать что аудитория заинтересована и на следующей неделе сделаю :)

↑ К СОДЕРЖАНИЮ ↑

А на этом всё! Вот вы и узнали основы создания и хранения надежных паролей. Давайте-ка проверим, как обстоят дела у читателей Вебинвеста :) Нужен такой сайт, которым бы пользовались все… думаю, социальные сети подойдут. Итак, прошу вас с помощью голосовалки рассказать о том, насколько сложный пароль вы используете для любимой соцсети:

 Загрузка ...

Надеюсь, что после моей статьи ситуация сдвинется в лучшую сторону. Особенно если вы поможете распространить статью среди ваших друзей и коллег:

Друзья, вообще вы как, ответственно относитесь к паролям? Или считаете, что не стоит слишком забивать голову, заморочки того не стоят и можно обойтись достаточно простыми? Оставляйте свои мнения в комментариях.

До встречи в новых статьях Вебинвеста! Зима близко… пожалуйста, не болейте.

Автор: Александр Дюбченко (добавляйтесь в друзья Вконтакте и на Facebook). С 2016 года веду блог об инвестировании в Интернете, изучаю инвестиции в ПАММ-счета, акции, криптовалюты, драгоценные металлы, валютный рынок. Также разрабатываю вспомогательные инструменты для инвесторов на основе MS Excel. Всегда готов ответить на любые ваши вопросы.

webinvestor.pro

Как придумать надежный пароль

Из-за одного ненадёжного пароля может возникнуть много проблем. Предположим, хакер подобрал пароль к вашей основной почте. Из писем он узнал, что вы пользуетесь Айклаудом, восстановил к нему доступ и заблокировал ваш айфон. После этого сбросил пароль к вашей странице на Фейсбуке, и получил доступ к личным сообщениям. В переписках злоумышленник нашел фото ваших документов, номер телефона и банковской карты. Он использовал эти данные в чате с банком, привязал к аккаунту другой номер, попал внутрь и получил доступ к вашим деньгам.

В этой статье разберёмся, как придумать сложный пароль и защититься от взлома.

Какие пароли ненадёжные

Ненадёжные пароли – это обычные слова или фразы, буквы или цифры, идущие подряд. Люди часто используют их, когда не задумываются о безопасности или просто хотят побыстрее закончить регистрацию. Пароль ненадёжный, если он состоит из:

  • последовательности цифр: 12345, 337799, 10011001
  • даты рождения: 13051990, 19900513, 0513
  • номера телефона: 0998765432, 0976543210
  • распространённых слов: password, qwerty, administrator
  • вашего имени, имён родственников или домашних животных: anton, alex, sveto4ka, barsik, kesha
  • географического названия: ukraine, mississippi, pacificocean
  • юзернейма или его части: username_example, antonio
  • электронной почты: [email protected], [email protected]

Такие пароли легко подобрать. Например, хакеру понадобится меньше суток, чтобы подобрать пароль «anton13051990» и всего 13 секунд для пароля «qwerty12345».

Проверьте ваш в анализаторе надёжности паролей.

Какие пароли надёжные

Надёжные пароли – это комбинации из прописных и строчных букв, цифр и специальных символов. Попробуйте пробежаться пальцами по клавиатуре и получите такой пароль:

[email protected]!kX74a E5u73$zOf&9azUa YgC3£i4%rJqyB80 Oz!x43cVe$oz5S [email protected]&39uzxC1ka0

Чтобы подобрать такой пароль, понадобится несколько столетий. Даже самые умные хакеры столько не живут.

Как создать надёжный пароль

Возможно, у вас уже появилась идея как создать пароль. Если ничего не приходит в голову, попробуйте такой способ:

1. Возьмите любую случайную фразу, например – ЛондонПариж. 2. Напишите её транслитом: LondonParizh. 3. Замените часть букв на специальные символы. Будет проще запомнить, если замените буквы по принципу схожести. Например, а на @, i на !, о на 0. Вот что получилось: [email protected]!zh.

4. Теперь добавьте в конце каждого слова цифры. Это могут быть ваши любимые числа, ваш возраст или код оператора. Посмотрим, что вышло в итоге: [email protected]!zh097.

Вместо случайной фразы можете выбрать любую запоминающуюся комбинацию. Например, цвета радуги, ноты или дни недели. С днями недели это будет выглядеть так:

1. Берём двухбуквенные сокращения нечётных дней недели и пишем транслитом: PnSrPtVs. 2. Добавляем в конце каждого дня недели число из таблицы умножения на 5: Pn5Sr10Pt15Vs20. 3. Добавляем специальные символы – меняем t на +, s на $: Pn5$r10P+15V$20.

4. Получилось 15 символов. Несложно запомнить, сложно взломать.

Такие способы хороши, если вы хотите легко запомнить свой пароль и не копировать его каждый раз из менеджера паролей. Что это — читайте ниже.

Где хранить пароли

Лучше всего хранить пароли в уме. Туда хакерам точно не добраться. Если решите записать его на бумажке или сохранить в заметках смартфона, помните – эти способы ненадёжны. Поэтому будьте осторожны. Всегда есть шанс, что заметки увидят другие.

Новый пароль всегда трудно запомнить. Лучший способ это сделать – первое время не сохранять пароль, а вводить его вручную. После нескольких десятков попыток выработается механическая память, и вы начнёте вводить пароль рефлекторно.

Труднее запомнить много паролей одновременно. Для таких случаев есть менеджеры паролей: KeePass, LastPass или Roboform. Это программы, которые запоминают и хранят пароли за вас. Вам нужно только придумать и запомнить главный пароль – для входа в программу. Раз это главный пароль, пусть он будет самым длинным и сложным.

О том, какой менеджер паролей выбрать, мы напишем отдельную статью. А пока ещё раз о том, что делать со своими паролями:

Да Запомнить

Завести менеджер паролей

Нет Записать на бумажке Сохранить в заметках смартфона В текстовом документе на компьютере

В айклауде

Как не рассекретить пароль

Мало придумать надёжный пароль – нужно ещё соблюдать осторожность, чтобы не раскрыть его для хакеров. Хранить пароли в голове – это первый шаг. Но этого мало, потому что хакеры могут перехватить их в момент ввода. Чтобы сохранить свои пароли в тайне, попробуйте:

  1. Создать новый пароль для каждого важного сервиса.
  2. Включить двухфакторную аутентификацию везде, где есть эта опция.
  3. Не сохранять пароли в браузере.
  4. Не вводить пароли на сайтах без SSL-сертификата.
  5. Никому не доверять и не называть пароль. Даже друзьям. Даже родителям.
  6. Менять пароль каждый раз, когда кажется, что его могли украсть. В остальных случаях менять пароль не реже, чем раз в 6 месяцев.

ssl.com.ua

Простой и надежный пароль – коллективное творчество

Перечитав массу сопутствующей литературы и просмотрев тонну хабратопиков (ссылки на интересные приведены в конце статьи), я решил обобщить информацию об основных методах генерации надежного и запоминающегося пароля.

Начну с того, что для генерации и хранения своих паролей сам я пользуюсь замечательной программой KeePass. Ее функционала вполне хватает для всех моих скромных вебмастерских нужд. Основным ее недостатком является тот факт, что она тоже требует запоминать один главный пароль. Поэтому вся эта суета вокруг придумывания пароля также касается меня и всех счастливых обладателей программы KeePass или ее аналогов, т.к. один пароль придумать все-таки придется.

Поговорим о методах взлома
Чтобы понимать всю глубину проблемы, пару строк посвящу методике взлома. Итак, как же злоумышленник может узнать/угадать/подобрать ваш пароль?
  1. Метод логического угадывания. Работает в системах с большим количеством пользователей. Злоумышленник пытается понять вашу логику при составлении пароля (логин+2 символа, логин наоборот, самые распространенные пароли и т.п.) и применяет эту логику ко всем пользователям. Если пользователей много, очень скоро произойдет коллизия и пароль будет угадан;
  2. Перебор по словарю. Этот вид атаки применяется, когда база данных с хешированными паролями слита с сервера. Может сочетаться с заменой букв (опечатки) или с подстановкой цифр/слов в начало или конец слова в качестве приставки или суффикса. Также используются словари, набранные в неверной раскладке клавиатуры (русские слова в английской раскладке);
  3. Перебор по таблице хешированных паролей. Передовой метод взлома паролей, когда хеши уже сгенерированы и остается только найти в базе соответствие хеша паролю. Работает очень быстро даже на слабых машинах и не оставляет никаких шансов владельцам коротких паролей.
  4. Другие методы: социотехника и социальный инжиниринг, использование keylogger'ов, снифферов, троянов и т.п.
Надежность пароля
Обобщая информацию, полученную из разных достоверных источников, я выделю основные признаки устойчивого к взлому пароля (под взломом я подразумеваю перебор по базам хешей, когда алгоритм хеширования заранее известен):
  1. Длина пароля (чем больше, тем лучше), для запущенных случаев рекомендуют использовать 15-тисимвольный пароль;
  2. Отсутствие словарных слов и частей распространенных паролей в составе пароля;
  3. Отсутствие шаблонов при составлении пароля (под шаблоном я понимаю логический алгоритм генерации пароля, например: «Med777ведев», «[email protected]йцу@21» или даже «q1w2e3r4t5»);
  4. Стохастические последовательности символов из различных групп (строчные, прописные, цифры, знаки препинания и спец-символы);
Однако, все мы люди с довольно ограниченными способностями к запоминанию несвязной информации, поэтому пароли, которые подходят под вышеописанные параметры, хоть и будут весьма стойки к взлому с одной стороны, но, с другой стороны, их очень непросто запомнить. Поэтому рассмотрим менее параноидальные варианты составления и запоминания паролей.
Как народ запоминает свои пароли?
Проанализировав способы генерации паролей хабралюдей, я пришел к выводу, что основная методология запоминания пароля основывается на составлении логического или ассоциативного ряда. Также используются всевозможные искажения слов. Это могут быть:
  1. Названия домена вперемежку с логином («gooUSERglcom», «UmailruSer»);
  2. Определенная стандартная фраза, которая прикрепляется к домену («passgoogleru», «passhabrahabrru»);
  3. Распространенное слово вперемежку со значащими цифрами и другими знаками («321DR67ag0On», где 32167 – чит, который вызывал 5 черных драконов в Heroes of Might & Magic);
  4. Русские слова в английской раскладке («,k.lj [htyf» — «блюдо хрена»);
  5. Перестановка букв («Мойна и Вир», «twirret»);
Из особо запоминающихся можно выделить технику шокирующего абсурда: «моллюски отгрызли мои танцующие гениталии», записывание паролей в мобилку в качестве абонента и работа с энциклопедией, как со словарем возможных паролей.
Рекомендации по запоминанию паролей от профессионалов
Человеческий мозг не силен в составлении абсолютно случайных последовательностей. Поэтому мы можем использовать сильные его стороны, а именно – составление последовательностей слов, которые связаны между собой достаточно, чтобы наш пароль было легко запомнить. Итак, вот некоторые рекомендации с примерами от Марка Бернета, автора книги Perfect Password. Selection, Protection, Authentication (прим.: все примеры мои):
  1. Используйте в пароле антонимы, синонимы и омонимы и др. в различных комбинациях со знаками препинания и цифрами («молодойстарик18лет», «svetlo! темный», «собака[email protected]»);
  2. Используйте формулы и выражения («12!=12.1», «@die(‘hard’)», «echo $string»);
  3. Используйте ненастоящие адреса электронной почты («[email protected]»);
  4. Используйте рифмы в пароле («google’shmugl», «HABRa_kadabra»);
  5. Повторение («http://http://double_pass», «zloe_zlo»);
  6. Визуализация («Зомби выели мне мо3г», «КуКла.Даша.плачет»);
  7. Преувеличение («25 часов утра», «Путин’а в мэры!», «почеши МНЕ желудок»);
  8. Используйте маты в паролях (тут упражняйтесь сами);
  9. Один из самых надежных способов запомнить пароль – многократно набрать его на клавиатуре.
Вместо заключения
Многие пользователи в сети поступают как я когда-то: у них есть один простенький пароль для одноразового входа на какие-нибудь неважные сайты и два-три длинных и сложных СУПЕР-пароля для всего остального. Конечно, это лучше, чем один пароль для всего. Однако я рекомендую для каждого сайта иметь свой пароль, очень уж не хочется упрощать жизнь взломщикам.
И, напоследок, факты для параноиков
  1. Самая распространенная цифра в паролях – 1, встречается в 21% паролей, в то время как остальные цифры присутствуют в 7%-10% случаев;
  2. 24% всех паролей состоят из 6 символов;
  3. Более 60% всех паролей содержат только строчные символы;
  4. Самый распространенный пароль в сети: «123456»;
  5. Существуют программы, способные проверять более миллиона паролей в секунду на процессоре Pentium 4 с частотой 3ГГц;
  6. Количество возможных вариантов пароля длиной 15 символов, в котором могут быть использованы все типы символов стандартной клавиатуры (в английской раскладке), составляет 463 291 230 159 753 000 000 000 000 000 вариантов.
Список использованной литературы и источники вдохновения

UPD 1: Сервис проверки надежности пароля от Microsoft

Теги:
  • пароль
  • генерация пароля
  • безопасность

habr.com


Смотрите также