Kako kreirati jaku lozinku. Kreiranje lozinki: Kako doći do jake lozinke Pronalaženje lozinke

Postupak identifikacije korištenjem jednostavna lozinka može se predstaviti kao sljedeći slijed radnji:

Korisnik šalje zahtjev za pristup računarskom sistemu i unosi svoj identifikator;

Sistem traži lozinku;

Korisnik unosi lozinku;

Sistem uspoređuje primljenu lozinku sa korisničkom lozinkom pohranjenom u sigurnosnoj referentnoj bazi podataka i dozvoljava pristup ako se lozinke podudaraju; inače korisnik resursa kompjuterski sistem nije dopusteno.

Budući da korisnik može pogriješiti prilikom unosa lozinke, sistem mora obezbijediti prihvatljiv broj ponavljanja za unos lozinke.

U referentnoj bazi podataka, lozinke, kao i druge informacije, nikada ne bi trebale biti pohranjene eksplicitno, već samo šifrovane. U ovom slučaju možete koristiti i reverzibilne i nepovratne metode šifriranja.

Prema metodi reverzibilna enkripcija Referentna lozinka, kada se unese u referentnu bazu podataka, šifrira se pomoću ključa koji odgovara ovoj referentnoj lozinki, a korisnička lozinka unesena nakon identifikacije za poređenje sa referentnom lozinkom također je šifrirana pomoću ključa koji odgovara ovoj unesenoj lozinki. Stoga, kada se uporede, referentna i unesena lozinka su šifrirane i podudaraće se samo ako se originalno unesena lozinka poklapa sa originalnom referencom. Ako se originalno unesena lozinka ne poklapa s originalnom glavnom lozinkom, originalna unesena lozinka bit će šifrirana drugačije, jer se ključ za šifriranje razlikuje od ključa koji je šifrirao glavnu lozinku, a nakon šifriranja neće odgovarati šifriranoj glavnoj lozinki.

Da bi se osigurala mogućnost kontrole ispravnosti unosa lozinke kada se koristi nepovratna enkripcija, tabela konvertiranih lozinki se upisuje na tvrdi disk. Za njihovu konverziju koristi se jednosmjerna kriptografska funkcija y= F(x), ima sljedeće svojstvo: za dati argument X značenje F(x) lako je izračunati, i s obzirom na ovo at računski je teško pronaći vrijednost argumenta X, odgovara ovome u. Tablica lozinki pohranjuje vrijednosti jednosmjernih funkcija za koje se lozinke uzimaju kao argumenti. Prilikom unosa lozinke, sigurnosni sistem lako izračunava vrijednost funkcije iz lozinke trenutnog korisnika i upoređuje je sa vrijednošću datom u tabeli za korisnika sa odabranim identifikatorom. Napadač koji je preuzeo računar može da pročita tabelu vrednosti funkcije lozinke, ali je izračunavanje lozinke praktično nemoguće.

Prilikom rada sa lozinkama treba uzeti u obzir takvu mjeru kao što je nedopustivost njihovog štampanja ili prikazivanja na ekranima monitora. Stoga, sigurnosni sistem mora osigurati da korisnici unesu lozinke koje se od njih traže bez prikazivanja ovih lozinki na monitorima.


Sljedeće glavne metode mogu se identificirati za povećanje snage sigurnosnog sistema u fazi autentifikacije:

Povećanje stepena netrivijalnosti lozinke;

Povećanje dužine niza znakova lozinke;

Povećanje vremena kašnjenja između dozvoljenih pokušaja ponovnog unosa pogrešno unesene lozinke;

Povećana ograničenja minimalnog i maksimalnog vremena valjanosti lozinke.

Kako netrivijalnija lozinka, to je teže zapamtiti. Lozinka koju je teško zapamtiti može biti zapisana na komadu papira, povećavajući rizik da bude ugrožena. Rješenje ovdje je korištenje određenog broja neupisljivih razmaka ili drugih znakova na početku, unutar, kao i na kraju niza znakova glavne lozinke. Osim toga, pojedinačni znakovi lozinke mogu se upisivati ​​u različitim velikim slovima (na primjer, umjesto malih, mogu biti velika ili obrnuto), što također ne bi trebalo da se odražava na listu papira. U ovom slučaju, nezakonito dobijeni komad papira sa glavnim znakovima lozinke neće biti dovoljan uslov za otkrivanje cijele lozinke.

Vjerovatnoća pogađanja lozinke također se smanjuje kako se dužina lozinke povećava, a vrijeme kašnjenja između dozvoljenih pokušaja ponovnog unosa pogrešno unesene lozinke raste. Očekivano vrijeme otkrivanja lozinke T r(u danima) može se izračunati na osnovu sljedeće približne formule:

T r =(A S x*t p)/2.

-A - broj znakova u abecedi koji se koristi za skup znakova lozinke;

-S- dužina lozinke u znakovima, uključujući razmake i druge uslužne znakove;

T p - vrijeme unosa lozinke u sekundama, uzimajući u obzir vrijeme kašnjenja između dozvoljenih pokušaja ponovnog unosa pogrešno unesene lozinke.

Na primjer, ako A= 26 znakova (u obzir se uzimaju samo slova engleske abecede), t p = 2 sekunde, a S= 6 znakova, tada je očekivano vrijeme otvaranja T p otprilike godinu dana. Ako je u ovom primjeru, nakon svakog neuspješnog pokušaja unosa lozinke, predviđeno vremensko kašnjenje od 10 sekundi, tada će se očekivano vrijeme otkrivanja povećati za 5 puta.

Iz gornje formule postaje jasno da se povećanje snage sigurnosnog sistema u fazi autentifikacije može postići povećanjem broja znakova abecede koji se koriste za postavljanje znakova lozinke. Ovo povećanje se može postići korišćenjem više registara (načina unosa) na tastaturi za upisivanje znakova lozinke, na primer korišćenjem malih i velikih latiničnih znakova, kao i malih i velikih ćiriličkih znakova.

Kako bi se eliminisala potreba da korisnici pamte duge i netrivijalne lozinke, sigurnosni sistem može pružiti mogućnost snimanja lozinki u šifriranom obliku na medij za pohranu, kao što su diskete, magnetne kartice, medijume za skladištenje u mikro krugovima, itd., kao i čitanje lozinki sa ovih medija za skladištenje. Ova funkcija vam omogućava da povećate sigurnost značajnim povećanjem dužine lozinki snimljenih na mediju za pohranu. Međutim, u isto vrijeme, uprava službe sigurnosti treba da uloži sve napore da korisnicima aviona objasni potrebu pažljivog obezbjeđenja medija za skladištenje podataka njihovim lozinkama.

Za diplomu sigurnost informacija Kada koristite metodu jednostavne lozinke, autentifikacija korisnika ima veliki uticaj ograničenja minimalnog i maksimalnog vremena valjanosti svake lozinke.Što se lozinka češće mijenja, to je veća sigurnost osigurana.

Minimalno vrijeme valjanosti lozinke određuje vrijeme tokom kojeg se lozinka ne može promijeniti, a maksimalno vrijeme nakon kojeg će lozinka biti nevažeća. Shodno tome, lozinka se mora promijeniti između minimalnog i maksimalnog vijeka trajanja. Stoga je jasno da se češće promjene lozinke osiguravaju smanjenjem minimalnog i maksimalnog vremena njenog važenja.

Minimalno i maksimalno vrijeme valjanosti lozinke Za svakog korisnika postavlja sigurnosni administrator, koji mora stalno pratiti pravovremenost promjene korisničkih lozinki.

Čitanje članka će potrajati: 3 min.

Kao iu svakom manje-više zatvorenom klubu, većina internet resursa jednostavno nije dozvoljena - zahtijevaju neku vrstu lozinke, prijeteći, ako je potrebno, slanjem nove ako navedete traženu e-mail adresu... Često, bezobrazna lozinka zahtijeva korisnici ih doživljavaju kao tipične odvratne administratore - nemaju savjesti, onda traže od vas da unesete lozinku "najmanje šest znakova", onda je podlo ne žele prihvatiti i pustiti oboljelog na teritoriju zaštićenu lozinkom. Određene kombinacije znakova u lozinki mogu olakšati zadatak korisnicima i, začudo, domaćim hakerima...

Lozinke koje je lako pogoditi

dakle, najpopularniji i najlakši skup znakova koji se može hakovati u redu lozinke će biti... niste pogodili da li ste odlučili da je “qwerty” briljantna engleska riječ “password”! Zašto ići daleko - oni žele lozinku za njih, zmije, "lozinku"! Kako se zove, tri ha-ha...

Drugi najpopularniji postoji digitalna kombinacija “123456” - ali fig, hoće šest znakova i dobiće! Dakle, kopilad, u rep i grivu! Da ne budem pametan...

Treći najpopularniji Lozinka je kod mene lično izazvala homerski napad smijeha - “12345678”! Većina korisnika nema mašte, kako drugačije to shvatiti.

unesite lozinku

On četvrto mjesto- ta-daaam! Da, ovu poziciju zauzima isti “qwerty” - unesite ga kao lozinku i dajte svoj nalog hakeru trećeg razreda koji je s pola srca naučio tastaturu računara.

Peto mesto okupiran čudnom i neobično složenom kombinacijom brojeva i latiničnih slova - “abc123”. Međutim, prvaci u bilo kojoj stranoj zemlji će to savladati za tren. On šesto mjesto među lozinkama korisnika engleskog govornog područja je „majmun“. Ako neko ne zna, to znači "majmun". Očigledno među engleskim korisnicima ima mnogo sljedbenika Darwinove teorije...

Sedmo mjesto iza promišljene kombinacije “1234567” - ni vi ni mi. Više od šest znakova, šta vam još treba?

Osmo mjesto za "letmein", što je meni lično neshvatljivo, deveto– za “trustno1” (navodno, “ne vjeruj nikome”). "Zmaj" i "bejzbol" dijele 10. i 11. pozicija prema najpopularnijim lozinkama - s njima je lako, zmajevi su svi tako mitski i nepoznati (naravno!), a bejzbol je, naprotiv, megapopularan na Zapadu i u inostranstvu.

Pažnja, to je bomba! On dvanaesto mesto vrlo jaka kombinacija za lozinku - "111111" - sve genijalno je jednostavno. Trinaesto mesto a kombinacija "volim te" ili "volim te" - sranje, ljubav ne vlada samo svijetom, već i internetom. "Majstor" i "sunce" se dijele shodno tome 14. i 15. pozicije, 16. i 17 za “ashley” i “bailey” (ukucajući ih ćirilicom dobijamo vrlo smiješne riječi).

Ovih dana vam je potrebna lozinka svuda - čak i u mikrotalasnoj.

On 18. pozicija genijalna (!) nadogradnja najpopularnije lozinke, komplikovana uvođenjem broja u njenu kombinaciju - “passw0rd”. Briljantno, i što je najvažnije, tako jednostavno! Senka se sastaje 19. pozicija u kombinaciji "sjena" - sjene su zastrašujuće i zastrašujuće, možda će uplašiti hakere.

Niz kombinacija koje su genijalne po svojoj složenosti: 20. pozicija i "123123", 21st i zastrašujuće "654321." On 22 Najpopularnija pozicija je branilac svih potlačenih i jedina viša sila za Homera Simpsona - "superman". Šta reći, ovaj superheroj je imao posebno nezaboravne hulahopke i ogrtač...

VKontakte lozinka

Pogodi šta? još jedna popularna lozinka? Savjet: prva dva bloka dugmadi na tastaturi... Ovo je zastrašujući “qazwsx”! Ko god ga uzme u ruke je vrag - barem tako misle oni korisnici koji ga koriste. On 24. mjesto"Mikhail" ili "michael" - arhanđeli su još uvijek popularni među publikom koja je upućena u internet. Poslednji 25. pozicija redovi... navijači Spartaka i Dinama, radujte se - "fudbal"! Ole, ole-ole-ole, hakeri - kreni!

Gore navedene lozinke među zapadnim korisnicima Interneta objavile su novine The Telegraph, mnoge od ovih kombinacija su veoma popularne u ruskom segmentu internetskih resursa. Prema preporukama internet stručnjaka, mi, obični korisnici, u lozinke treba da unesemo nečitljive znakove poput “$”, “%” itd. – najteže je pogoditi lozinke sa sličnim znakovima unesenim u njih. Iako bi, po mom mišljenju, najteža lozinka bila tačan datum pravi kraj sveta - niko ne zna sa sigurnošću.

Nakon što sam pročitao mnogo povezane literature i pogledao gomilu habratopica (veze na zanimljive su date na kraju članka), odlučio sam sažeti informacije o glavnim metodama generiranja jake i nezaboravne lozinke.

Dozvolite mi da počnem tako što ću reći da i ja koristim divan KeePass program za generiranje i pohranjivanje svojih lozinki. Njegova funkcionalnost je sasvim dovoljna za sve moje skromne potrebe webmastera. Njegov glavni nedostatak je činjenica da također zahtijeva da zapamtite jednu glavnu lozinku. Stoga se sva ova gužva oko smišljanja lozinke tiče i mene i svih sretni vlasnici KeePass program ili njegovi analogi, jer Još uvijek morate smisliti jednu lozinku.

Hajde da pričamo o metodama hakovanja

Da bih razumio punu dubinu problema, posvetit ću nekoliko redaka tehnici hakovanja. Dakle, kako napadač može saznati/pogoditi/pogoditi vašu lozinku?
  1. Metoda logičkog pogađanja. Radi na sistemima sa velikim brojem korisnika. Napadač pokušava razumjeti vašu logiku prilikom kreiranja lozinke (login + 2 znaka, prijava obrnuto, najčešće lozinke, itd.) i primjenjuje ovu logiku na sve korisnike. Ako ima mnogo korisnika, vrlo brzo će doći do kolizije i lozinka će se pogoditi;
  2. Pretraživanje rječnika. Ova vrsta napada se koristi kada baza podataka sa heširanim lozinkama procuri sa servera. Može se kombinovati sa zamenom slova (greške u kucanju) ili sa zamenom brojeva/reči na početku ili na kraju reči kao prefiksa ili sufiksa. Koriste se i rječnici upisani na pogrešnom rasporedu tastature (ruske riječi u engleskom rasporedu);
  3. Pretraživanje kroz tabelu heširanih lozinki. Napredna metoda razbijanja lozinki, kada su hashovi već generisani i ostaje samo da se pronađe podudaranje u bazi podataka za hash i lozinku. Radi vrlo brzo čak i na slabim mašinama i ne ostavlja nikakve šanse vlasnicima kratkih lozinki.
  4. Ostale metode: sociotehnika i društveni inženjering, upotreba keyloggera, sniffera, trojanaca itd.

Jačina šifre

Sumirajući informacije dobijene iz različitih pouzdanih izvora, istaći ću glavne karakteristike lozinke koja je otporna na hakiranje (pod hakiranjem mislim na pretraživanje po hash bazama podataka, kada je algoritam heširanja unaprijed poznat):
  1. Dužina lozinke (što duže to bolje), za napredne slučajeve preporučuje se upotreba lozinke od 15 znakova;
  2. Odsustvo riječi iz rječnika i dijelova uobičajenih lozinki u lozinki;
  3. Nedostatak šablona prilikom kreiranja lozinke (pod šablonom mislim na logički algoritam za generisanje lozinke, na primjer: “Med777vedev”, “12@ytsu@21” ili čak “q1w2e3r4t5”);
  4. Stohastički nizovi znakova iz različitih grupa (mala, velika, brojevi, interpunkcijski i specijalni znakovi);
Međutim, svi smo mi ljudi s prilično ograničenim sposobnostima pamćenja nekoherentnih informacija, pa lozinke koje odgovaraju gore opisanim parametrima, iako će s jedne strane biti vrlo otporne na hakiranje, ali, s druge strane, vrlo ih je teško zapamtiti. . Stoga, razmotrimo manje paranoične opcije za kreiranje i pamćenje lozinki.

Kako ljudi pamte svoje lozinke?

Analizirajući metode generiranja lozinki za Habrapeople, došao sam do zaključka da se glavna metodologija pamćenja lozinke zasniva na izradi logičkog ili asocijativnog niza. Koriste se i razne vrste izobličenja riječi. To može biti:
  1. Imena domena isprepletena loginom (“gooUSERglcom”, “UmailruSer”);
  2. Određena standardna fraza koja je vezana uz domenu (“passgoogleru”, “passhabrahabrru”);
  3. Uobičajena riječ isprepletena značajnim brojevima i drugim likovima („321DR67ag0On“, gdje je 32167 varalica koja je prizvala 5 crnih zmajeva u Heroes of Might & Magic);
  4. Ruske riječi u engleskom rasporedu (“k.lj
  5. Lozinka mora biti bez javno dostupnih informacija(ime, prezime, nadimak, važni datumi, brojevi telefona, INN, adrese, i vaše i rodbine - ovo NIJE za lozinku! [ MarinaAV1965– loša opcija])
  6. Lozinka mora biti nema riječi iz rječnika i bez jednostavne kombinacije riječi (koristite manje uobičajene riječi ili nepostojeće riječi [ Abyrvalg])

Mogli biste reći: "Zašto mi treba toliko lozinki?"
Hajde da vidimo zašto je ovo potrebno.

  • Najvažnija stvar na internetu je vaša e-pošta, budući da su gotovo svi servisi na Internetu vezani za vaš e-mail. Ako neko dobije pristup vašoj e-pošti, može dobiti pristup svemu ostalom.
  • Na sajtovima niske pouzdanosti, e-mail i lozinka su u blizini! Ako je takva stranica hakovana, prvo što će učiniti je provjeriti da li lozinka odgovara vašoj e-pošti, a zatim pokušati pristupiti vašem računu u socijalna mreža i opcije online plaćanja.
  • Napadači prodaju jedni drugima baza podataka hakovanih naloga, pa se rizik od hakovanja svih vaših računa dramatično povećava.

Kako biti?
Postoji jednostavan način da pojednostavite zadatak tako što ćete sve usluge podijeliti u dvije grupe:

  1. Za redovni računi koristite jednostavnije, slične lozinke;
  2. Za važne račune (e-mail, internet bankarstvo) koristite složene, jedinstvene lozinke.

“Dobro, uvjerio sam te, ali kako da zapamtim toliko lozinki?”

3. Sačuvajte svoju lozinku bezbedno

Memorijski alat nije najpouzdaniji, pa je bolje koristiti jednu od nekoliko dokazanih metoda za sigurno pohranjivanje lozinki.

  1. Papirna sveska- da, čak i vodeći stručnjaci za informacijsku sigurnost prepoznaju ovu opciju. Samo držite takvu bilježnicu podalje od znatiželjnih očiju i čuvajte lozinke u njoj u nerazumljivom obliku (o tome ćemo sljedeći put).
  2. Password Manager - poseban program, koji pamti lozinke umjesto vas, trebate zapamtiti samo jednu lozinku da biste pristupili ostatku baze podataka.
  3. Tekstualni dokument- nije najuspješnija opcija za pohranjivanje lozinki, ali se može koristiti i ako možete sigurno pohraniti dokument: u arhivu pod lozinkom, ali ovo je već opcija za upravitelja lozinki :)

Za svaku metodu obavezno koristite !

Kako NE pohranjivati ​​lozinke

  1. Na komadu papira pričvršćenom za monitor ili koji leži na stolu ispod tastature (postoje presedani na nacionalnom nivou)
  2. IN tekstualni dokument na radnoj površini (ili na fleš disku, memorijskoj kartici telefona itd.)
  3. Takođe se ne preporučuje čuvanje lozinki u pretraživaču! (Pitam se zašto? Odgovoriću u komentarima)

Novinski izvještaj pokazao je lozinku za francusku televizijsku mrežu TV5 Monde

Oni mogu pokušati da hakuju vašu e-poštu pokušavajući da povrate vašu lozinku.
Ako koristite odgovor na Tajno Pitanje, možete pogoditi.

  • Odgovor na sigurnosno pitanje mora biti otporan na nagađanje(koristite neočekivane odgovore, na primjer: "Vaša omiljena boja" - "Nebo")

Ako se drugi e-mail koristi za oporavak, sva pravila iz ovog članka bi se trebala primjenjivati ​​i na njega.

  • Adresa e-pošte za oporavak mora biti pouzdano zaštićena(provjerite svoje sigurnosne postavke sada, nemojte odlagati)

5. Koristite dvofaktorsku autentifikaciju

Za važne račune koristite dvostepeni ili dvofaktorski račun.

Na primjer, unesete lozinku i pomoću telefona dobijete dodatni jednokratni kod za pristup online usluzi (to može biti SMS ili kod generiran u aplikaciji).

U ovom slučaju bit će mnogo teže hakovati vaš račun.

Zaključak

Danas smo se upoznali sa pet pravila, zahvaljujući kojima sada znamo šta je složena i pouzdana lozinka.

Poznavanje pravila možete početi stvarati složena lozinka , a kako to ne zaboraviti, reći ću vam u sljedećoj lekciji.

Kopiranje zabranjeno, ali možete dijeliti linkove.



Učitavanje...
Top