Hogyan készítsünk erős jelszót. Jelszavak létrehozása: Hogyan találjunk ki egy erős jelszót Jelszó keresése

Azonosítási eljárás segítségével egyszerű jelszó a következő műveletsorként ábrázolható:

A felhasználó kérelmet küld a számítógépes rendszerhez való hozzáférésre, és megadja azonosítóját;

A rendszer jelszót kér;

A felhasználó beír egy jelszót;

A rendszer összehasonlítja a kapott jelszót a biztonsági referencia adatbázisban tárolt felhasználói jelszóval, és engedélyezi a hozzáférést, ha a jelszavak megegyeznek; különben a felhasználó az erőforrásokhoz számítógépes rendszer nem megengedett.

Mivel a felhasználó hibázhat a jelszó megadásakor, a rendszernek megfelelő számú ismétlést kell biztosítania a jelszó megadásához.

Egy referenciaadatbázisban a jelszavakat – más információkhoz hasonlóan – soha nem szabad kifejezetten tárolni, csak titkosítani kell. Ebben az esetben reverzibilis és visszafordíthatatlan titkosítási módszereket is használhat.

A módszer szerint reverzibilis titkosítás A referencia-adatbázisba beírva a referenciajelszót olyan kulccsal titkosítják, amely megegyezik ezzel a referenciajelszóval, és a referenciajelszóval való összehasonlításhoz az azonosítás után megadott felhasználói jelszót is egy olyan kulccsal titkosítják, amely megegyezik a megadott jelszóval. Így összehasonlításkor a referencia és a beírt jelszó titkosított, és csak akkor egyezik, ha az eredetileg beírt jelszó megegyezik az eredeti hivatkozással. Ha az eredetileg beírt jelszó nem egyezik az eredeti mesterjelszóval, az eredetileg beírt jelszó másképp lesz titkosítva, mivel a titkosítási kulcs különbözik attól a kulcstól, amelyik a mesterjelszót titkosította, és a titkosítás után nem fog megegyezni a titkosított mesterjelszóval.

A visszafordíthatatlan titkosítás használatakor a jelszóbevitel helyességének ellenőrzése érdekében a konvertált jelszavak táblázata kerül a merevlemezre. Átalakításukhoz egyirányú kriptográfiai funkciót használnak y = F(x), amelynek a következő tulajdonsága van: adott argumentumra x jelentése F(x) könnyen kiszámítható, és ezt figyelembe véve nál nél számításilag nehéz megtalálni az argumentum értékét X, ennek megfelelő u. A jelszótábla az egyirányú függvények értékeit tárolja, amelyekhez a jelszavakat argumentumként veszik. Jelszó megadásakor a biztonsági rendszer az aktuális felhasználó jelszavából könnyen kiszámítja a függvény értékét, és összehasonlítja azt a táblázatban megadott értékkel a kiválasztott azonosítójú felhasználó számára. A számítógépet birtokba vett támadó el tudja olvasni a jelszófüggvény értékek táblázatát, de a jelszó kiszámítása gyakorlatilag lehetetlen.

A jelszavakkal való munka során figyelembe kell venni olyan intézkedést, mint a kinyomtatásuk vagy a monitor képernyőkön való megjelenítésének megengedhetetlensége. Ezért a biztonsági rendszernek biztosítania kell, hogy a felhasználók beírják a tőlük kért jelszavakat anélkül, hogy ezeket a jelszavakat megjelenítenék a monitorokon.


A következő fő módszerek azonosíthatók a biztonsági rendszer erősségének növelésére a hitelesítési szakaszban:

A jelszó nem trivialitás fokának növelése;

A jelszó karaktersorozat hosszának növelése;

Növeli a késleltetési időt a hibásan megadott jelszó újbóli megadására tett kísérletek között;

Növekvő korlátozások a jelszó minimális és maximális érvényességi idejére vonatkozóan.

Hogyan több nem triviális jelszó, annál nehezebb megjegyezni. A nehezen megjegyezhető jelszót felírhatják egy papírra, ami növeli a feltörésének kockázatát. A megoldás itt az, hogy bizonyos számú nem írható szóközt vagy más karaktert használunk a fő jelszó karakterek sorozatának elején, belsejében és végén is. Ezenkívül az egyes jelszókarakterek más kis- és nagybetűkkel is beírhatók (például kisbetűk helyett nagybetűk vagy fordítva), ami szintén nem jelenhet meg egy papírlapon. Ebben az esetben egy illegálisan megszerzett papírdarab a jelszó fő karaktereivel nem lesz elegendő feltétele a teljes jelszó felfedésének.

A jelszó kitalálásának valószínűsége is csökken a jelszó hosszának növekedésével és a hibásan beírt jelszó újbóli megadására tett kísérletek közötti késleltetési idő növekedésével. A jelszó várható közzétételi ideje T r(napokban) a következő hozzávetőleges képlet alapján számítható ki:

T r =(A S x*t p)/2.

-A - a jelszó karakterkészletéhez használt ábécé karaktereinek száma;

-S- a jelszó hossza karakterekben, beleértve a szóközöket és egyéb szolgáltatási karaktereket;

T p - a jelszó beviteli ideje másodpercben, figyelembe véve a hibásan beírt jelszó újbóli megadására tett kísérletek közötti késleltetési időt.

Például ha A= 26 karakter (csak az angol ábécé betűit vesszük figyelembe), t p = 2 másodperc, a S= 6 karakter, akkor a várható nyitvatartási idő T p hozzávetőlegesen egy év. Ha ebben a példában minden sikertelen jelszóbeviteli kísérlet után 10 másodperces késleltetést adunk meg, akkor a várt felfedezési idő ötszörösére nő.

A fenti képletből világossá válik, hogy a biztonsági rendszer erősségének növelése a hitelesítési szakaszban a jelszó karakterek beállításához használt ábécé karakterek számának növelésével érhető el. Ez a növekedés a billentyűzet több regiszterének (beviteli mód) használatával érhető el a jelszókarakterek beírásához, például kis- és nagybetűs latin karakterek, valamint kis- és nagybetűs cirill karakterek használatával.

Annak érdekében, hogy a felhasználóknak ne kelljen emlékezniük a hosszú és nem triviális jelszavakra, a biztonsági rendszer lehetővé teheti a jelszavak titkosított formában történő rögzítését adathordozókra, például hajlékonylemezekre, mágneskártyák, adathordozók mikroáramkörökben stb., valamint jelszavak kiolvasása ezekről az adathordozókról. Ez a funkció lehetővé teszi a biztonság növelését azáltal, hogy jelentősen megnöveli az adathordozón rögzített jelszavak hosszát. Ugyanakkor a biztonsági szolgálat adminisztrációjának mindent meg kell tennie annak érdekében, hogy elmagyarázza a repülőgép-felhasználóknak az adathordozók jelszavaikkal történő gondos biztonságának szükségességét.

Egy diplomáért információ biztonság Egyszerű jelszómódszer használatakor a felhasználói hitelesítésnek nagy hatása van az egyes jelszavak minimális és maximális érvényességi idejére vonatkozó korlátozásokat. Minél gyakrabban módosítják a jelszót, annál nagyobb a biztonság.

A jelszó minimális érvényességi ideje azt az időtartamot adja meg, ameddig a jelszó nem módosítható, a maximum pedig azt az időt, amely után a jelszó érvénytelen lesz. Ennek megfelelően a jelszót a minimális és a maximális élettartam között kell módosítani. Nyilvánvaló tehát, hogy a gyakoribb jelszócserét az érvényességi idejének minimális és maximális idejének csökkentése biztosítja.

A jelszó minimális és maximális érvényességi ideje A biztonsági rendszergazda állítja be minden felhasználó számára, akinek folyamatosan figyelnie kell a felhasználói jelszavak megváltoztatásának időszerűségét.

A cikk elolvasásához: 3 perc

Mint minden többé-kevésbé zárt klubban, a legtöbb internetes forrást egyszerűen nem engedik be - valamilyen jelszót igényelnek, megfenyegetve, ha szükséges, újat küldenek, ha megadja a kívánt e-mail címet... Gyakran előfordul, hogy pimasz jelszót követelnek a felhasználók tipikus undorító adminoknak tekintik őket - nincs lelkiismeretük, akkor megkövetelik egy „legalább hat karakterből álló” jelszó megadását, akkor aljas módon nem akarják elfogadni, és beengedik a szenvedőt a jelszóval védett területre. A jelszó bizonyos karakterkombinációi megkönnyíthetik a felhasználók, és furcsa módon a saját nevelésű hackerek dolgát...

Könnyen kitalálható jelszavak

Így, legnépszerűbb és legegyszerűbb a feltörhető karakterkészlet a jelszósorban lesz... nem gondoltad, ha úgy döntöttél, hogy a „qwerty” a zseniális angol „password” szó! Minek messzire menni – jelszót akarnak nekik, a viperáknak, „jelszót”! Mit hívnak, három ha-ha...

A második legnépszerűbb van egy "123456" digitális kombináció - de füge, hat karaktert akarnak és meg is kapják! Szóval, a köcsögök, a farokban és a sörényben! Hogy ne legyek okos...

A harmadik legnépszerűbb A jelszó személy szerint homéroszi nevetést váltott ki – „12345678”! A legtöbb felhasználónak nincs fantáziája, hogyan lehet ezt megérteni.

írd be a jelszót

Tovább negyedik hely- ta-daaam! Igen, ezt a pozíciót ugyanaz a „qwerty” foglalja el - írja be jelszóként, és adja át fiókját egy harmadik osztályos hackernek, aki félszívvel megtanulta a számítógép billentyűzetét.

Ötödik hely a számok és a latin betűk furcsa és szokatlanul összetett kombinációja – „abc123” – foglalta el. Az első osztályosok azonban bármely külföldi országban pillanatok alatt elsajátítják. Tovább hatodik hely az angolul beszélő felhasználók jelszavai között szerepel a „majom”. Ha valaki nem tudja, az azt jelenti, hogy „majom”. Nyilván sok követője van Darwin elméletének az angol felhasználók között...

Hetedik hely az átgondolt „1234567” kombináció mögött – sem te, sem mi. Hatnál több karakter, mi kell még?

Nyolcadik hely a "letmein"-re, ami számomra személy szerint érthetetlen, kilencedik– a „trustno1”-re (úgy tűnik, „ne bízz senkiben”). „Sárkány” és „baseball” megosztás 10. és 11. pozíció a legnépszerűbb jelszavak szerint - könnyű velük, a sárkányok annyira mitikusak és ismeretlenek (persze!), a baseball pedig éppen ellenkezőleg, megapopuláris nyugaton és a tengerentúlon.

Figyelem, ez egy bomba! Tovább tizenkettedik hely egy nagyon erős kombináció a jelszóhoz - „111111” - minden zseniális egyszerű. Tizenharmadik helyés az „I love you” vagy „iloveyou” kombináció - baromság, a szerelem nemcsak a világot, hanem az internetet is uralja. A "mester" és a "napfény" ennek megfelelően fel van osztva 14. és 15. pozíció, 16-án és 17-én az „ashley” és a „bailey” (cirill betűkkel írva nagyon vicces szavakat kapunk).

Ma mindenhol jelszóra van szükség – még a mikrohullámú sütőben is

Tovább 18. pozíció a legnépszerűbb jelszó zseniális (!) frissítése, amelyet bonyolult egy szám beiktatása a kombinációjába - „passw0rd”. Zseniális, és ami a legfontosabb, olyan egyszerű! Az árnyék találkozik 19. pozíció az „árnyék” kombinációban - az árnyékok ijesztőek és félelmetesek, talán elriasztják a hackereket.

Összetettségükben zseniális kombinációk sorozata: 20. pozícióés "123123", 21és az ijesztő „654321”. Tovább 22 A legnépszerűbb pozíció az összes elnyomottak védelmezője, és Homer Simpson egyetlen magasabb ereje - „szuperman”. Mit mondjak, ennek a szuperhősnek különösen emlékezetes harisnya és köpenye volt...

VKontakte jelszó

Találd ki? egy másik népszerű jelszó? Tipp: az első két gombblokk a billentyűzeten... Ez a félelmetes „qazwsx”! Aki felveszi, az az ördög – legalábbis ezt gondolják azok a felhasználók, akik használják. Tovább 24. hely„Mihail” vagy „michael” - az arkangyalok továbbra is népszerűek az internethez értő közönség körében. A végső 25. pozíció soraiban... a Spartak és a Dynamo szurkolói, örüljetek - „futball”! Ole, ole-ole-ole, hackerek - hajrá!

A fenti jelszavakat a The Telegraph újság tette közzé a nyugati internetezők körében, sok ilyen kombináció nagyon népszerű az internetes források orosz szegmensében. Az internetes szakértők ajánlása szerint nekünk, hétköznapi felhasználóknak kell a jelszavakba beírni az olvashatatlan karaktereket, mint a „$”, „%” stb. – a beléjük írt hasonló karakterű jelszavakat a legnehezebb kitalálni. Bár véleményem szerint a legnehezebb jelszó lenne pontos dátum az igazi világvége – senki sem tudja biztosan.

Miután rengeteg kapcsolódó szakirodalmat elolvastam, és rengeteg habratémát átnéztem (a cikk végén találhatók az érdekes linkek), úgy döntöttem, hogy összefoglalom az erős és emlékezetes jelszó generálásának fő módszereiről szóló információkat.

Hadd kezdjem azzal, hogy én magam a csodálatos KeePass programot használom jelszavaim generálására és tárolására. Funkcionalitása minden szerény webmesteri igényem kielégítésére elég. Legfőbb hátránya az a tény, hogy egy mesterjelszót is meg kell jegyezni. Ezért ez a jelszó kitalálása körüli felhajtás engem és mindenkit is érint boldog tulajdonosok KeePass program vagy analógjai, mert Még mindig egy jelszót kell kitalálnia.

Beszéljünk a hackelési módszerekről

A probléma teljes mélységének megértéséhez szentelek néhány sort a hackelési technikának. Tehát hogyan találhatja meg/kitalálhatja/kitalálhatja a támadó a jelszavát?
  1. Logikai találgatás módszere. Nagy számú felhasználóval rendelkező rendszereken működik. A támadó megpróbálja megérteni az Ön logikáját a jelszó létrehozásakor (bejelentkezés + 2 karakter, bejelentkezés fordított, a leggyakoribb jelszavak stb.), és ezt a logikát alkalmazza minden felhasználóra. Ha sok felhasználó van, hamarosan ütközés történik, és a jelszót kitalálja;
  2. Szótár keresés. Ez a fajta támadás akkor használatos, ha a kivonatolt jelszavakat tartalmazó adatbázis kiszivárog a szerverről. Kombinálható a betűk cseréjével (elírási hibák), vagy a számok/szavak helyettesítésével a szó elején vagy végén elő- vagy utótagként. A rossz billentyűzetkiosztással beírt szótárak is használatosak (az angol elrendezésben orosz szavak);
  3. Keresés a kivonatolt jelszavak táblázatában. Speciális módszer a jelszavak feltörésére, amikor a hash-ek már létrejöttek, és már csak az adatbázisban kell megtalálni a hash és a jelszó egyezését. Nagyon gyorsan működik még gyenge gépeken is, és esélyt sem hagy a rövid jelszavak tulajdonosainak.
  4. Egyéb módszerek: szociotechnika és social engineering, keyloggerek, snifferek, trójai programok stb.

Jelszó erősség

Összegezve a különböző megbízható forrásokból származó információkat, kiemelem a hackelésnek ellenálló jelszó főbb jellemzőit (hackelés alatt a hash adatbázisok közötti keresést értem, amikor a hash algoritmus előre ismert):
  1. Jelszó hossza (minél hosszabb, annál jobb), haladó esetekben 15 karakteres jelszó használata javasolt;
  2. A szótári szavak és a gyakori jelszavak részeinek hiánya a jelszóban;
  3. Sablonok hiánya a jelszó létrehozásakor (sablon alatt egy logikai algoritmust értem a jelszó generálására, pl.: „Med777vedev”, „12@ytsu@21” vagy akár „q1w2e3r4t5”);
  4. Sztochasztikus karaktersorozatok különböző csoportokból (kisbetűk, nagybetűk, számok, írásjelek és speciális karakterek);
Mindazonáltal mindannyian meglehetősen korlátozottak vagyunk az inkoherens információk megjegyezésére, ezért a fent leírt paramétereknek megfelelő jelszavak, bár egyrészt nagyon ellenállnak a feltörésnek, másrészt nagyon nehéz megjegyezni őket. . Ezért tekintsünk kevésbé paranoiás lehetőségeket a jelszavak létrehozására és emlékezésére.

Hogyan emlékeznek az emberek a jelszavakra?

A Habrapeople jelszavak generálásának módszereit elemezve arra a következtetésre jutottam, hogy a jelszó emlékezésének fő módszere egy logikai vagy asszociatív sorozat összeállításán alapul. A szavak mindenféle torzítását is használják. Lehet:
  1. A bejelentkezéssel tarkított domain nevek („gooUSERglcom”, „UmailruSer”);
  2. Egy bizonyos szabványos kifejezés, amely a domainhez kapcsolódik ("passgoogleru", "passhabrahabrru");
  3. Jelentős számokkal és egyéb karakterekkel tarkított gyakori szó („321DR67ag0On”, ahol a 32167 egy csalás, amely 5 fekete sárkányt idézett meg a Heroes of Might & Magic-ben);
  4. Orosz szavak angol elrendezésben (“,k.lj
  5. A jelszónak kell lennie nyilvánosan elérhető információk nélkül(utónév, vezetéknév, becenév, fontos dátumok, telefonszámok, INN, címek, az Ön és rokonai – ez NEM jelszó! [ MarinaAV1965– rossz lehetőség])
  6. A jelszónak kell lennie nincsenek szótári szavakés anélkül egyszerű kombinációk szavak (használjon kevésbé gyakori szavakat vagy nem létező szavakat [ Abyrvalg])

Azt mondhatja: „Miért van szükségem ennyi jelszóra?”
Lássuk, miért van erre szükség.

  • A legfontosabb dolog az interneten az e-mail címed, hiszen az interneten szinte minden szolgáltatás az Önhöz kötődik email. Ha valaki hozzáfér az e-mailjeihez, minden máshoz is hozzáférhet.
  • Az alacsony megbízhatóságú oldalakon az e-mail és a jelszó a közelben van! Ha egy ilyen webhelyet feltörnek, először ellenőrizni fogják, hogy a jelszó egyezik-e az e-mail-címével, majd megpróbálnak hozzáférni a fiókjához közösségi hálóés online fizetési lehetőségek.
  • A támadók egymásnak árulnak feltört fiókok adatbázisa, így az összes fiók feltörésének kockázata drámaian megnő.

Hogyan legyen?
Van egy egyszerű módja a feladat egyszerűsítésére az összes szolgáltatás két csoportra osztásával:

  1. Mert rendszeres számlák egyszerűbb, hasonló jelszavakat használjon;
  2. Fontos fiókokhoz (e-mail, online banki szolgáltatások) használjon összetett, egyedi jelszavakat.

– Oké, meggyőztelek, de hogyan emlékszem ennyi jelszóra?

3. Tárolja biztonságosan jelszavát

A memóriaeszköz nem a legmegbízhatóbb, ezért jobb, ha a jelszavak biztonságos tárolására számos bevált módszer valamelyikét használja.

  1. Papír jegyzettömb- Igen, még a vezető információbiztonsági szakértők is elismerik ezt a lehetőséget. Csak egy ilyen jegyzettömböt tartson távol a kíváncsi szemek elől, a benne lévő jelszavakat pedig tartsa érthetetlen formában (erről legközelebb beszélünk).
  2. Jelszókezelő - speciális program, amely megjegyzi a jelszavakat, csak egy jelszót kell megjegyeznie az adatbázis többi részének eléréséhez.
  3. Szöveges dokumentum- nem a legsikeresebb lehetőség a jelszavak tárolására, de akkor is használható, ha biztonságosan tudja tárolni a dokumentumot: archívumban jelszó alatt, de ez már jelszókezelőnél is lehetőség :)

Minden módszernél feltétlenül használd!

Hogyan NE tároljunk jelszavakat

  1. A monitorra erősített papíron, vagy az asztalon fekve a billentyűzet alatt (országos léptékű precedensek vannak)
  2. BAN BEN szöveges dokumentum az asztalon (vagy flash meghajtón, telefon memóriakártyán stb.)
  3. Szintén nem ajánlott a jelszavakat a böngészőben tárolni! (Vajon miért? Kommentben válaszolok)

Egy híradás megmutatta a TV5 Monde francia televíziós hálózat jelszavát

Megpróbálhatják feltörni az e-mailjeit a jelszava visszaállításával.
Ha választ használ arra titkos kérdés, sejtheti.

  • A biztonsági kérdésre adott válasznak kitalálhatatlannak kell lennie(Használjon váratlan válaszokat, például: "Kedvenc színed" - "Ég")

Ha egy második e-mailt használnak a helyreállításhoz, akkor az ebben a cikkben szereplő összes szabályt arra is alkalmazni kell.

  • A helyreállítási e-mail-címet megbízhatóan védeni kell(Ellenőrizze biztonsági beállításait most, ne késlekedjen)

5. Használjon kéttényezős hitelesítést

Fontos fiókokhoz használjon kétlépcsős vagy kéttényezős módszert.

Például megad egy jelszót, és a telefon segítségével megkapja további egyszeri kód az online szolgáltatás eléréséhez (ez lehet SMS vagy az alkalmazásban generált kód).

Ebben az esetben sokkal nehezebb lesz feltörni a fiókját.

Következtetés

Ma öt szabállyal ismerkedtünk meg, amelyeknek köszönhetően ma már tudjuk, mi az összetett és megbízható jelszó.

A szabályok ismerete elkezdheti alkotni összetett jelszó , és hogyan ne felejtsd el, a következő leckében elmondom.

Másolás tilos, de megoszthat linkeket.



Betöltés...
Top