Как да създадете и запомните силна парола

2024 Автор: Malcolm Clapton | [email protected]. Последно модифициран: 2023-12-17 03:47

Най-добрите начини за създаване на парола, която никой не може да разбие.

Повечето нападатели не се притесняват от сложни методи за кражба на пароли. Те приемат лесни за отгатване комбинации. Около 1% от всички съществуващи в момента пароли могат да бъдат въведени с груба сила с четири опита.

Как е възможно? Много просто. Изпробвате четирите най-често срещани комбинации в света: парола, 123456, 12345678, qwerty. След такъв пасаж се отварят средно 1% от всички "сандъци".

Да приемем, че сте сред онези 99% от потребителите, чиято парола не е толкова проста. Въпреки това, производителността на съвременния софтуер за хакване трябва да се вземе предвид.

Безплатната, свободно достъпна програма John the Ripper проверява милиони пароли в секунда. Някои примери за специализиран търговски софтуер претендират за капацитет от 2,8 милиарда пароли в секунда.

Първоначално програмите за кракване преминават през списък със статистически най-често срещаните комбинации и след това се отнасят до пълния речник. С течение на времето тенденциите в паролите на потребителите могат леко да се променят и тези промени се вземат предвид при актуализирането на такива списъци.

С течение на времето всякакви уеб услуги и приложения решиха насилствено да усложнят паролите, създадени от потребителите. Добавени са изисквания, според които паролата трябва да има определена минимална дължина, да съдържа цифри, главни букви и специални знаци. Някои услуги приемаха това толкова сериозно, че отнема наистина дълга и досадна задача, за да се измисли парола, която системата да приеме.

Основният проблем е, че почти всеки потребител не генерира истинска парола с груба сила, а само се опитва да изпълни изискванията на системата за състава на паролата до минимум.

Резултатът е пароли като парола1, парола123, парола, парола, парола! и невероятно непредвидимият p @ ssword.

Представете си, че трябва да преработите паролата си за Спайдърмен. Най-вероятно ще изглежда като $ pider_Man1. Оригинален? Хиляди хора ще го променят, използвайки същия или много подобен алгоритъм.

Ако крекерът знае тези минимални изисквания, тогава ситуацията само се влошава. Именно поради тази причина наложеното изискване за увеличаване на сложността на паролите не винаги осигурява най-добрата сигурност и често създава фалшиво усещане за повишена сигурност.

Колкото по-лесна е паролата за запомняне, толкова по-вероятно е тя да попадне в речниците за кракери. В резултат на това се оказва, че наистина силната парола е просто невъзможна за запомняне, което означава, че трябва да бъде поправена някъде.

Според експерти дори в тази дигитална ера хората все още могат да разчитат на лист хартия с написани пароли. Удобно е да държите такъв лист на място, скрито от любопитни очи, например в портфейл или портфейл.

Листът с пароли обаче не решава проблема. Дългите пароли са трудни не само за запомняне, но и за въвеждане. Ситуацията се влошава от виртуалните клавиатури на мобилните устройства.

Взаимодействайки с десетки услуги и сайтове, много потребители оставят след себе си низ от идентични пароли. Те се опитват да използват една и съща парола за всеки сайт, като напълно игнорират рисковете.

В този случай някои сайтове действат като бавачка, което принуждава комбинацията да бъде сложна. В резултат на това потребителят просто не може да си спомни как е трябвало да промени стандартната си единична парола за този сайт.

Мащабът на проблема беше напълно осъзнат през 2009 г. Тогава, поради дупка в сигурността, хакерът успява да открадне базата данни за вход и пароли на RockYou.com, компанията, която публикува игри във Facebook. Нападателят направи базата данни публично достъпна. Общо той съдържаше 32,5 милиона записи с потребителски имена и пароли към акаунти. Течове са се случвали и преди, но мащабът на това конкретно събитие показа цялата картина.

Най-популярната парола на RockYou.com беше 123456, която беше използвана от почти 291 000 души. Мъжете под 30 по-често предпочитат сексуални теми и вулгарности. Възрастните хора от двата пола често се обръщат към определена област на културата, когато избират парола. Например Epsilon793 не изглежда толкова лош вариант, само че тази комбинация беше в Star Trek. Седемцифреното 8675309 се появява много пъти, защото това число се появява в една от песните на Tommy Tutone.

Всъщност създаването на силна парола е проста задача, достатъчно е да съставите комбинация от произволни знаци.

Не можете да създадете напълно произволна комбинация от математически план в главата си, но не се изисква от вас. Има специални услуги, които генерират наистина произволни комбинации. Например, той може да създава пароли като тази:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Това е просто и елегантно решение, особено за тези, които използват мениджър за съхранение на пароли.

За съжаление, повечето потребители продължават да използват прости, слаби пароли, дори игнорирайки правилото „различни пароли за всеки сайт“. За тях удобството е по-важно от безопасността.

Ситуациите, при които сигурността на паролата може да бъде компрометирана, могат да бъдат разделени на 3 широки категории:

• Случаен, в който човек, когото познавате, се опитва да разбере паролата, разчитайки на информация, която знае за вас. Често такъв крекер иска само да изиграе номер, да разбере нещо за вас или да направи бъркотия.
• Масови атаки когато абсолютно всеки потребител на определени услуги може да стане жертва. В този случай се използва специализиран софтуер. За атаката се избират най-малко защитените сайтове, които ви позволяват многократно да въвеждате опции за парола за кратък период от време.
• Целенасочено които съчетават получаването на подсказки (както в първия случай) и използването на специализиран софтуер (като при масова атака). Става дума за опит да се добере до наистина ценна информация. Само достатъчно дълга произволна парола ще ви помогне да се защитите, изборът на която ще отнеме време, сравнимо с продължителността на живота ви.

Както виждате, абсолютно всеки може да стане жертва. Изявления като „паролата ми няма да бъде открадната, защото никой не се нуждае от мен“не са от значение, защото можете да попаднете в подобна ситуация съвсем случайно, по стечение на обстоятелствата, без видима причина.

Още по-сериозно е да се вземе защита с парола за тези, които имат ценна информация, са свързани с бизнес или са в конфликт с някого по финансови причини (например разделяне на имущество в процеса на развод, конкуренция в бизнеса).

През 2009 г. Twitter (в разбирането на цялата услуга) беше хакнат само защото администраторът използва думата щастие като парола. Хакерът го вдигна и публикува в сайта Digital Gangster, което доведе до отвличане на акаунтите на Обама, Бритни Спиърс, Facebook и Fox News.

Акроними

Както във всеки друг аспект на живота, ние винаги трябва да намерим компромис между максимална безопасност и максимално удобство. Как да намерим средно положение? Каква стратегия за генериране на пароли ще ви позволи да създавате силни комбинации, които могат лесно да се запомнят?

В момента най-добрата комбинация от надеждност и удобство е да конвертирате фраза или фраза в парола.

Избира се набор от думи, които винаги помните, и комбинация от първите букви от всяка дума се използва като парола. Например, Нека силата бъде с теб се превръща в Mtfbwy.

Въпреки това, тъй като най-известните от тях ще бъдат използвани като първоначални фрази, програмите в крайна сметка ще получат тези акроними в своите списъци. Всъщност акронимът съдържа само букви и следователно е обективно по-малко надежден от произволна комбинация от знаци.

Изборът на правилната фраза ще ви помогне да се отървете от първия проблем. Защо да превърнете световно известен израз в акроним парола? Сигурно си спомняте някои вицове и поговорки, които са подходящи само за близките ви кръгове. Да приемем, че сте чули много закачлива фраза от барман в местно заведение. Използваи го.

И все пак паролата с акроним, която генерирате, е малко вероятно да е уникална. Проблемът с акронимите е, че различни фрази могат да бъдат съставени от думи, започващи със същите букви и в една и съща последователност. Статистически в различните езици има повишена честота на появата на определени букви като начало на дума. Програмите ще вземат предвид тези фактори и ефективността на акронимите в оригиналната версия ще бъде намалена.

Обратен път

Изходът може да бъде обратният начин на поколение. Вие създавате напълно произволна парола в random.org и след това превръщате нейните знаци в смислена запомняща се фраза.

Често услугите и сайтовете предоставят на потребителите временни пароли, които са същите напълно произволни комбинации. Ще искате да ги промените, защото няма да можете да запомните, а просто погледнете по-отблизо и става очевидно: не е нужно да помните паролата. Например, нека вземем друга опция от random.org - RPM8t4ka.

Въпреки че изглежда безсмислено, нашият мозък е в състояние да намери определени модели и съответствия дори в такъв хаос. Като начало можете да забележите, че първите три букви в него са главни, а следващите три са малки. 8 е два пъти (на английски два пъти - t) 4. Погледнете малко тази парола и със сигурност ще откриете свои собствени асоциации с предложения набор от букви и цифри.

Ако можете да запомните безсмислени набори от думи, тогава използвайте това. Нека паролата се превърне в обороти в минута 8 песен 4 katty. Всяко преобразуване, в което мозъкът ви е по-добър, ще свърши работа.

Случайната парола е златният стандарт в информационната сигурност. По дефиниция е по-добра от всяка парола, създадена от човека.

Недостатъкът на акронимите е, че с течение на времето разпространението на такава техника ще намали нейната ефективност, а обратният метод ще остане също толкова надежден, дори ако всички хора на земята ще го използват в продължение на хиляда години.

Случайна парола няма да бъде включена в списъка с популярни комбинации, а нападател, използващ метод за масова атака, ще използва такава парола само с груба сила.

Нека вземем проста произволна парола, която взема предвид главни букви и числа - това са 62 възможни знака за всяка позиция. Ако направим паролата само 8 цифри, тогава ще получим 62 ^ 8 = 218 трилиона опции.

Дори ако броят на опитите в рамките на определен интервал от време не е ограничен, най-комерсиалният специализиран софтуер с капацитет от 2,8 милиарда пароли в секунда ще прекара средно 22 часа в опити да намери правилната комбинация. За да сме сигурни, добавяме само 1 допълнителен знак към такава парола - и ще отнеме много години, за да я разбием.

Случайна парола не е неуязвима, тъй като може да бъде открадната. Опциите са изобилие, от четене на въвеждане от клавиатурата до носене на камера през рамо.

Хакер може да удари самата услуга и да получи данни директно от нейните сървъри. В тази ситуация нищо не зависи от потребителя.

Една надеждна основа

И така, стигнахме до основното. Какви са тактиките за произволна парола, които да използвате в реалния живот? От гледна точка на баланса между надеждност и удобство, "философията на една силна парола" ще се прояви добре.

Принципът е, че използвате една и съща основа – супер силна парола (нейните вариации) за услугите и сайтовете, които са най-важни за вас.

Запомнете една дълга и трудна комбинация за всички.

Ник Бери, консултант по информационна сигурност, позволява прилагането на този принцип, при условие че паролата е много добре защитена.

Не е разрешено наличието на зловреден софтуер на компютъра, от който въвеждате паролата. Не е позволено да се използва една и съща парола за по-малко важни и забавни сайтове - по-простите пароли са напълно достатъчни за тях, тъй като хакването на акаунт тук няма да доведе до фатални последици.

Ясно е, че надеждната база трябва да се промени по някакъв начин за всеки сайт. Като прост вариант можете да добавите една буква в началото, която завършва името на сайта или услугата. Ако се върнем към тази произволна парола RPM8t4ka, тя ще се превърне в kRPM8t4ka за упълномощаване на Facebook.

Нападателят, виждайки такава парола, няма да може да разбере как се генерира паролата за вашата банкова сметка. Проблемите ще започнат, ако някой получи достъп до две или повече от вашите пароли, генерирани по този начин.

Таен въпрос

Някои похитители напълно игнорират паролите. Те действат от името на собственика на акаунта и симулират ситуация, когато сте забравили паролата си и искате да я възстановите с таен въпрос. При този сценарий той може да промени паролата по желание и истинският собственик ще загуби достъп до акаунта си.

През 2008 г. някой получи достъп до имейла на Сара Пейлин, губернатор на Аляска, а по това време и кандидат за президент. Крадецът отговори на тайния въпрос, който звучеше така: "Къде се запознахте със съпруга си?"

След 4 години Мит Ромни, който по това време също беше кандидат за президент на САЩ, загуби няколко от акаунта си в различни услуги. Някой отговори на таен въпрос за името на домашния любимец на Мит Ромни.

Вече отгатнахте смисъла.

Не можете да използвате публични и лесно познати данни като таен въпрос и отговор.

Въпросът дори не е, че тази информация може внимателно да бъде извлечена в Интернет или от близките на човека. Отговорите на въпроси в стил "име на животно", "любим хокейен отбор" и така нататък са перфектно подбрани от съответните речници на популярни опции.

Като временен вариант можете да използвате тактиката на абсурдността на отговора. Казано по-просто, отговорът не трябва да има нищо общо с тайния въпрос. Моминското име на майката? Дифенхидрамин. Име на домашен любимец? 1991 г.

Въпреки това, такава техника, ако се намери широко разпространена, ще бъде взета предвид в съответните програми. Абсурдните отговори често са стереотипни, тоест някои фрази ще се срещат много по-често от други.

Всъщност няма нищо лошо в използването на реални отговори, просто трябва да изберете въпроса разумно. Ако въпросът е нестандартен и отговорът на него е известен само на вас и не може да бъде отгатнат след три опита, значи всичко е наред. Предимството на истинността е, че няма да го забравите с течение на времето.

ПИН

Персонален идентификационен номер (ПИН) е евтина ключалка, на която са поверени нашите пари. Никой не си прави труда да създаде по-надеждна комбинация от поне тези четири числа.

Сега спри. Точно сега. Точно сега, без да четете следващия параграф, опитайте се да отгатнете най-популярния ПИН. Готов?

Ник Бери изчислява, че 11% от населението на САЩ използва 1234 като свой ПИН (където могат сами да го променят).

Хакерите не обръщат внимание на ПИН кодовете, защото кодът е безполезен без физическото присъствие на картата (това отчасти може да оправдае малката дължина на кода).

Бери взе списъците с четирицифрени пароли, които се появиха след течовете в мрежата. Човекът, използващ паролата от 1967 г., вероятно я е избрал по някаква причина. Вторият по популярност ПИН е 1111, като 6% от хората предпочитат този код. На трето място е 0000 (2%).

Да предположим, че човек, който знае тази информация, има банкова карта в ръцете си. Три опита за блокиране на картата. Простата математика показва, че този човек има 19% шанс да познае своя ПИН, ако въведе последователно 1234, 1111 и 0000.

Вероятно поради тази причина по-голямата част от банките сами задават ПИН-кодове на издадените пластмасови карти.

Въпреки това, много хора защитават смартфоните с ПИН код и тук се прилага следният рейтинг на популярност: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3535, 836, 3535, 83, 4321, 2001, 1010.

Често ПИН представлява година (година на раждане или историческа дата).

Много хора обичат да правят ПИН под формата на повтарящи се двойки числа (освен това, двойките, при които първото и второто число се различават по едно, са особено популярни).

Цифровите клавиатури на мобилните устройства показват комбинации като 2580 в горната част - за да го напишете, достатъчно е да направите директен проход отгоре надолу в центъра.

В Корея числото 1004 е в съответствие с думата "ангел", което прави тази комбинация доста популярна там.

Резултат

1. Отидете на random.org и създайте 5-10 кандидат пароли там.
2. Изберете парола, която можете да превърнете в запомняща се фраза.
3. Използвайте тази фраза, за да запомните паролата си.