Скільки часу потрібно хакеру, щоб розгадати пароль? Як правило, в різних програмах та послугах в режимі онлайн потрібно пароль довжиною не менше шести символів. "Сильним" вважається пароль, що містить комбінації літер, цифр та службових знаків. При цьому буде достатньо трьох секунд для зламування цього пароля, якщо Ви використовуєте лише літери, то вистачить і секунди для доступу до Ваших даних.
Чому надійність Вашого пароля знижується з кожним роком
20 років тому паролі із шести чи восьми символів здавалися надійними. На колишніх комп'ютерах знадобилися б роки і навіть століття для зламування такого пароля шляхом проби різноманітних цифрових комбінацій. Багато людей користуються своїм паролем уже десятиліття і не змінюють його. Таким чином, довжина пароля зберігається, а його надійність з кожним роком зменшується.
За останні десятиліття розвиток обчислювальної технікидосягло величезного прогресу, і сьогодні будь-який особистий ПК має більшу потужність, ніж супер-ЕОМ у минулі часи за кілька мільйонів доларів. При цьому нові графічні та багатоядерні процесори пропонують таку обчислювальну потужність, яку 20 років тому більшості з нас важко було б уявити, і щороку з'являються нові процесори з великою кількістю ядер і графічні процесорибільшої потужності.
Удосконалення технічних засобів злому паролів
Завдяки цьому все більше людей має сьогодні можливість зламати пароль, та технічні засобистають більш удосконаленими. Простий перебір різних цифрових комбінацій, тобто. атака "грубою сили" (Brute Force Attack) без особливих роздумів - це лише початок. Швидко створюються таблиці з можливими паролями, які пробуються насамперед. У ці таблиці занесено імена відомих діячів, акторів кіно, дати народження, пестливі імена і потім усі слова з тлумачного словника. Чим частіше використовується пароль, тим вище він перебуватиме в такій таблиці і тим швидше він може бути знайдений.
Крім того, є розроблені "райдужні таблиці" ("Rainbow-Tables"), які економлять час за рахунок попереднього обчислення проміжного результату, а для більш швидких розрахунків використовуються графічні процесори.
Яку довжину повинен мати надійний пароль?
В одній статті Дірка Фокса щодо мінімальної довжини паролів та криптографічних ключіввід 2009 року в таблиці наводяться дані щодо тривалості пошуку паролів у Windows атакою грубої сили з використанням "райдужних таблиць" (Rainbow Crack).
При цьому слід враховувати той факт, що розвиток комп'ютерних технологій досяг за останні 3 роки значних успіхів, тому на сьогоднішній день на злам паролів може знадобитися набагато менше часу. Дірк Фокс розрізняє пароль, що складається лише з літер, та пароль із комбінації літер, цифр та службових знаків. Витяг з таблиці:
Довжина пароля знаки тільки літери літери, цифри та службові
6 символів 0,2 секунди 3,4 секунди
8 символів 8,75 хвилини 6,7 годин
10 символів 16,4 днів 5,4 роки
12 символів 22 роки 38 147 років
Таким чином, довжина пароля в Windows повинна бути мінімум 10 символів, якщо пароль складається не тільки з літер, а з комбінації літер, цифр і службових знаків. До того ж повинні використовуватися як малі, так і великі літери. Умова легкого запам'ятовування пароля при такій довжині вже є нездійсненною - але якщо все ж таки вона дотримується, то паролю гарантовано місце в таблиці хакера!
ПІН-коди банківських карток
Тепер Ви будете, можливо, стурбовані питанням, наскільки надійний захистВаших коштів у банку, оскільки ПІН-код складається лише з 4 символів – причому лише з одних цифр. ПІН-код в інтернет-банкінгу також складається із 5 символів.
Тим не менш, такий ПІН-код є певною мірою надійним, оскільки після трьох неправильних спроб введення ПІН-коду карта або доступ до неї в режимі онлайн блокується. Те ж саме стосується блокуючого коду авторадіо. Це практично неможливо, щоб хакер у перші три спроби розкрив правильні комбінації символів, якщо він їх не знає повністю чи частково.
Також шестизначний або восьмизначний пароль може бути надійним, якщо контролюється кількість неправильних вводів, і після кількох неправильних спроб відбувається блокування рахунку. Однак це не завжди відбувається, і часто блокування знімається через деякий час. Для надійності Ви повинні все ж таки створювати пароль довжиною мінімум 10 символів. Для більшої впевненості у захисті протягом років створюйте пароль із 12 символів та більше.
Якщо відповідний провайдер послуг не дозволяє створювати паролі завдовжки більше восьми знаків, Ви повинні подумати, чи варто довіряти Ваші дані цьому провайдеру. Щонайменше, Ви повинні регулярно змінювати пароль, щоб ускладнити хакерам його злом.
Про те, чому навіть не надто кваліфіковані зловмисники легко зламують паролі більшості відвідувачів різних інтернет-сайтів. Виникає закономірне питання: а чи можна придумати такий пароль, який, з одного боку, був би досить стійким до злому, а з іншого – легко запам'ятовується.
Насамперед варто пам'ятати про те, що зламати (підібрати, вгадати) можна абсолютно будь-який пароль. Питання лише в ресурсах - обчислювальних і тимчасових ых. Тому стійкість пароля має сенс оцінювати з погляду виправданості витрат з його злом: якщо протягом деякого часу не піддається розтині з допомогою доступних ресурсів, його можна вважати безпечним.
Для різних категорій користувачів застосовуються різні критерії. Для злому пароля облікового запису простої школярки в соціальній мережі ніхто не буде задіяти стільки ж ресурсів, скільки для розкриття облікового запису керівника великої фірми або (тим більше) для доступу до якихось особливо захищених державних та оборонних мереж. Пароль, який у першому випадку можна вважати практично абсолютно безпечним, у двох інших може бути абсолютно вразливим. При цьому наша абстрактна школярка, зрозуміло, ніколи не використовуватиме генератор випадкових паролів промислового класу і змінюватиме пароль щоразу після його введення.
Поговоримо про якийсь «середньостатистичний» випадок – тобто про паролі для інтернет-сервісів, які, залишаючись досить стійкими для таких застосувань, не змусять людину вести спосіб життя клінічного параноїка.
Довжина – це головне
На відміну від інших випадків, для пароля довжина – це головне. Паролі довжиною до шести символів включно, складені з 95 ASCII-символів (26 літер латинського алфавіту в обох регістрах, 10 цифр та 33 службових символів), зламуються методом повного перебору («грубої сили») на звичайному персональному комп'ютеріза допомогою «числодробилки» сучасної відеокарти буквально за лічені хвилини. Але додавання навіть одного-двох символів вже серйозно ускладнює завдання, подовжуючи час перебору кількох днів і навіть місяців.
Однак довжина – нехай і головний, але не єдиний критерій оцінки стійкості пароля. p align="justify"> Принципове значення має відсутність якогось передбачуваного шаблону в самому наборі і невипадковості в послідовності символів пароля. Міра непередбачуваності появи таких символів має назву « інформаційної ентропії», і ця величина, що розраховується в бітах ентропії, дозволяє зі значним ступенем точності оцінити складність пароля. Так, ентропія однією символ для пароля з усіх ASCII-символів складе близько 6,56 біт; таким чином, складність 6-символьного пароля становитиме 39,36 біта ентропії, 7-символьного – вже 45,95 біт, а 8-символьного – 52,48 біт.
Щоб зламати пароль 52-бітної складності методом перебору, знадобиться кількість спроб, що дорівнює 2 52-го ступеня. При використанні пари сучасних відеокарт класу GeForce GTX 570, здатних підбирати по 1,5 мільярда паролів на секунду, перебір всіх можливих комбінацій займе приблизно пару місяців безперервної роботи, що, загалом, і дає уявлення про стійкість такого пароля.
Однак це стосується виключно паролів, які не містять якихось передбачуваних шаблонів, тобто згенерованих машинно, з теоретично максимальною ентропією. Для поведінки людини типова передбачуваність, тому при складанні пароля він підсвідомо буде використовувати якісь знайомі поєднання і комбінації цифр, символів і літер. Мимоволі згадуються пам'ятні дати, дні народження, імена дорогих людей, назви знайомих місць та предметів.
Насправді це означає значно б обільшу вразливість, оскільки метод «грубого підбирання» завжди застосовується в комбінації з іншими способами злому, зокрема зі словниковим підбиранням. При цьому використання відомих масок та шаблонів значно полегшує завдання. Крім звичайних словників і словників реальних користувальницьких паролів, що «втекли» зі зламаних сайтів, широко відомі маски на підстановку окремих літер або додавання чисел, популярні числові послідовності – шаблони дат, телефонів, індексів, номерів соціального страхування, а також багато інших хитрощів, які даремно здаються їх авторам надзвичайно оригінальними.
За оцінками Національного інституту стандартів і технологій США (NIST), ентропія першого символу з букв нижнього регістру та цифр у паролях, придуманих людиною, становить 4 біти, наступних семи – 2 біти, а застосування верхнього регістру та службових символів додає ще 6 бітів, що в сумі дає всього 24 біти, тобто в два рази менше в порівнянні з теоретичним максимумом для заданого набору символів і довжини. Тобто час підбору такого пароля навіть методом «грубою сили» зменшується вдвічі, насправді ж «гібридна» атака дозволить зловмиснику досягти успіху набагато швидше.
І тут ми знову повертаємося до довжини: складність пароля довжиною 14 символів теоретично складе 91,84 біта, а довжиною 20 символів – вже 131,2 біта, і на злам таких паролів тільки методом перебору при існуючих обчислювальних потужностях піде кілька десятків, а то й сотень років. Гібридні методики, зрозуміло, значно знижують стійкість подібних кодів, а «людський фактор» робить їх ще більш вразливим. Проте довжина робить свою справу: для звичайного пароля користувача, навіть якщо в ньому є не надто явні шаблони, кількість символів, що рекомендується, на сьогодні має бути не менше 14. Такий пароль буде набагато безпечнішим, ніж «суперстійкі» колись паролі з 6–8 символів.
Не будьте передбачуваними
Після міркувань про передбачуваність як властивість людської натури така порада може прозвучати дивно, проте. Для складання досить безпечного пароля не обов'язково встановлювати генератори і намагатися потім запам'ятати абракадабру. Можна просто спробувати стати трохи «раптовішими».
Серед найбанальніших рекомендацій – не використовуйте псевдопаролі та комбінації псевдопаролів на кшталт QWERTY, 123456 тощо. Навіть якщо частина такої послідовності буде присутня у вашому паролі, це кардинально знизить його безпеку. Неприпустима повторюваність окремих символів та його поєднань: як цифр, і чисел, як букв, і слів.
Найдурніше, що можна вигадати, - це вводити як паролі російські слова в латинській розкладці. Якщо навіть горезвісний Punto Switcherздатний в реальному часі перемикати розкладку, дивно очікувати відсутності такої можливості у спеціалізованого ПЗ.
Не використовуйте передбачувані числа – дати, номери телефонів та індекси, номери соцстраховок та автомобілів. Оскільки професійні зломщики таки частково математики, не варто застосовувати в паролях і якісь добре відомі константи - наприклад, число пі. Числові послідовності (наприклад, числа Фібоначчі) теж навряд чи стануть гарною ідеєю.
Підстановка «схожих» символів у словникові слова не дасть жодного ефекту, оскільки всі зломщики давно знають, що «@» може замінювати «a», а «5» – «s». Набагато ефективніший варіант – зіпсувати відомі слова якимось лише одним вам зрозумілим способом. Наприклад, перетворити "password" на "p&sUprtDt" - типового шаблону тут немає, тому словниковий підбір нічого не дасть, а якщо пароль буде досить довгим, то і метод "грубої сили" виявиться малоефективним.
Загалом виявите творчий підхід, і у вас все вийде. Оцінити результати своїх зусиль можна, наприклад, на сайті GRC.com, який на відміну від пародійного інтелівського «калькулятора» дає реальне уявлення про стійкість пароля. Зрозуміло, оцінивши, доведеться вигадувати Новий пароль– якщо ви дійсно дбаєте про безпеку.
Стьопка, хочеш щець?
Навіть якщо ви придумали відмінні паролі (а вони - з метою вашої ж безпеки - повинні бути індивідуальні абсолютно для кожного інтернет-сервісу), виникає проблема, як їх все запам'ятати. Звичайно, можна скористатися вбудованою в будь-який браузер функцією запам'ятовування паролів, але якщо зловмисник якимось чином отримає доступ до вашої машини, це означатиме, що він зможе залізти не тільки на вашу сторінку в соцмережі, а й, наприклад, у ваш інтернет. банкінг.
Деякі люди мають фотографічну пам'ять на символи, і для них не важко запам'ятати навіть саму безглузду абракадабру. Іншим же доводиться користуватися іншим способом, описаним у заголовку цієї частини статті. Автор зовсім не збожеволів, просто в цьому заголовку наведена частина мнемонічного правила для запам'ятовування глухих приголосних в російській мові: «СтеПКа, хочеш щец? - Фі! Мнемотехніка полегшує запам'ятовування будь-якої інформації за допомогою асоціативних зв'язків, замінюючи абстрактні дані яскравими образами.
Навіть самий складний парольможна запам'ятати, використовуючи мнемотехніку, особливо якусь близьку вам тематику. Наприклад, «AsTKp2eshe:)»: «Аркадій з'їв велику тарілку каші, попросив дві ще, посміхнувся» і т. п. Фрази не обов'язково повинні бути осмисленими: навпаки, чим вони абсурдніші, тим легше запам'ятовуються. Технік запам'ятовування безліч, і якщо ви освоїте хоча б деякі з них, вони знадобляться вам не тільки для паролів. І повторимо, що це чудовий спосіб запам'ятати безліч складних паролів.
Паролі – лише один із засобів захисту інформації, нехай і з числа найпоширеніших. Але навіть із хорошими паролями потрібно вміти правильно поводитися. Серед головних правил «парольної гігієни» – не використовувати однакові паролі на різних ресурсах та регулярно їх міняти. Для інтернет-сервісів достатньо проводити таку заміну раз на два-три місяці, якщо не брати до уваги екстрених ситуацій зі втратою комп'ютера, його зломом або зломом веб-акаунту.
Не вводьте свої паролі на чужих комп'ютерах, особливо тих, до яких має доступ велике або необмежене коло людей. Навіть якщо підступні зловмисники не встановили там кейлоггери, що запам'ятовують усі натискання клавіш, в налаштуваннях системи, браузера або ПЗ може бути за замовчуванням передбачене запам'ятовування всіх паролів, що є неочевидним для користувача. Якщо вам все-таки довелося скористатися таким комп'ютером, поспішіть замінити пароль з безпечної машини.
Нарешті, ніколи і нікому не надсилайте свої паролі ні електронною поштою, ні через служби миттєвих повідомлень: ніякий інтернет-сервіс ніколи не вимагатиме від вас надіслати ваш пароль. Якщо потрібно надіслати пароль знайомим, надиктуйте його голосом по телефону або надішліть фотографію з мобільного. І знову – з метою безпеки – за можливості відразу ж поміняйте такий пароль на новий.
Тільки на перший погляд паролі, що не пробиваються, не містять логічної структури і виглядають, як абракадабра. Складні паролі є лише для тих, хто не знає рецепт їх створення. Вам зовсім не обов'язково запам'ятовувати регістри літер, цифри, спеціальні символи та порядок їхнього прямування. Достатньо вибрати основу, що запам'ятовується, і слідувати простим порадам створення міцних паролів.
Дитячі лічилки
За основу пароля беремо будь-який дитячий віршик або лічилку. Бажано, щоб вона була лише у ваших краях і не була загальновідома. А краще свого твору! Хоча підійдуть будь-які дитячі рими, головне, щоб рядки намертво засіли з юних років у вашій голові.
Пароль складатиметься з перших літер кожного слова. Причому літера писатиметься у верхньому регістрі, якщо вона є першою у реченні. Замінюємо деякі літери схожими на написання цифрами (наприклад, «ч» на «4», «про» на «0», «з» на «3»). Якщо не хочете зайве заплутуватися із заміною букв на цифри, пошукайте лічилку, що вже містить у собі цифри. Не забуваємо про розділові знаки, що розділяють слова і речення, - вони знадобляться.
Приклад:
Черепаха хвіст стиснула
І за зайцем побігла.
Виявилася попереду,
Хто не вірить – виходь!
Замінюємо літери "ч", "з" та "о" на схожі цифри. Другий, третій і четвертий рядки починаються з великих літер, і тому пишуться у верхньому регістрі. Включаємо чотири розділові знаки. Очевидно, пишемо російськими літерами, але на британській розкладці клавіатури.
17-символьний пароль готовий! Можливо, він і не ідеальний, оскільки містить знаки, що повторюються, послідовні малі літери і цифри. Але назвати його простою вже точно мова не повернеться.
Улюблені вислови
Схема аналогічна дитячим лічилкам. Тільки за основу ви берете фрази мислителів, знаменитостей або кіногероїв, що сподобалися і дуже запам'яталися. Ви можете дещо ускладнити собі життя, замінивши букву "ч" не на "4", а на "5", наприклад. Плутаючих маневрів багато не буває!
Приклад:
Я дізнався, що в мене
Є величезна сім'я:
Річка, поле та лісок,
У полі – кожен колосок…
Замінюємо букву «ч» на «8», не забуваємо про верхній регістр і розділові знаки.
Ze,8evTjc^H,g,bk,Dg-rr…
Жаргон та термінологія
Мається на увазі використання професійного жаргону, зрозумілого вкрай вузькій кількості людей. Ці слова набагато далекі від звичайної людини, ніж кримінальні вислови, що широко висвітлюються на телеекрані та вулицях будь-якого міста.
Наприклад, можна використовувати виписку з лікарні або хитромудре медичне визначення.
Приклад:
Циклопентанпергідрофенантрен - термін, що складається з 28 літер. Довго виходить, тому пропоную викинути голосні літери і розбавити згодні верхнім регістром.
Пам'ятні дати
Зрозуміло, ваш день народження або день початку сімейного життя – це не найвдаліша основа для пароля. Подія має бути виняткової важливості, і про неї повинні знати лише ви. Наприклад, це може бути день, коли ви вперше з'їли жуйку, втекли з уроку або зламали підбор. Оскільки базис пароля будуть складати цифри, не зайвим бачиться перемішування їх із літерами.
Приклад:
22.10.1983 та 16.06.2011
Замініть точки, що розділяють день, місяць і рік, на будь-яку букву, наприклад маленьку англійську “l”, яка дуже схожа на роздільник «/», що часто використовується. Між датами проставимо символ нижнього підкреслення "_". Нулі замінимо на літери "про".
Візуальний ключ
Використовуйте техніку розблокування смартфона та на вашій клавіатурі. Придумайте будь-яку фігуру і проведіть пальцем по її контурах.
Не забудьте пройтись за цифрами, змінити горизонтальний та вертикальний напрямок руху. І виявляйте, на відміну від мене, фантазію!
Висновок
Запропоновані способи створення запам'ятовується, але при цьому цілком складного для сприйняття з боку пароля можуть бути змінені та скомбіновані на вашу думку. Достатньо один раз обмозгувати свій суперпароль, і можна без страху використовувати його в присутності сторонньої людини.
А як ви вибираєте пароль?
Ось ви, шановний читачу, напевно свій будинок, квартиру на клямку, гачок не закриваєте. Вхідні двері та замок з ключем для житла підбираєте надійнішими, міцнішими, щоб ніхто не зміг проникнути всередину без вашого відома. І це правильно, і так має бути! А інакше в якийсь момент часу, а точніше, день чи ніч, можна втратити все те, що було нажито непосильною працею.
Примітно, що ця життєва істина справедлива і для облікових записів в онлайн-сервісах. Їх теж потрібно закривати, і добре закривати ключем – паролем – від сторонніх. Адже охочих позаратися на профілі, облікові записи платіжних системах, онлайн-іграх, соціальних мережах, та де завгодно (інтернет великий!), хоч греблю гати. І не треба себе заспокоювати в процесі реєстрації на черговому веб-ресурсі думками на кшталт «Та хто мене тут знає…», «Кому мій профіль потрібний…» і т.д. Тендітна надія на «авось» у цьому випадку може обернутися неприємностями. Причому більшими, якщо, наприклад, йдеться про кошти на рахунку в інтернет-банкінгу.
З цієї статті ви дізнаєтесь, як вигадати надійний пароль, як його запам'ятати та як безпечно зберігати на комп'ютері.
Складний пароль – гарантія конфіденційності
Чому потрібно вигадати хороший пароль? Та тому, що він є першим і найважливішим рівнем захисту ваших особистих даних. Комп'ютерні зловмисники безліч профілів користувача «розкривають» методом підбору пароля за допомогою спеціальних програм. Легкі символьні ключі їм знахідка. Раз – і готове! Особливо працювати над зломом не потрібно.
Щоб ще більше прояснити цю ситуацію статистичними аргументами, скористаємося спеціальним веб-сервісом https://howsecureismypassword.net/. Він повідомляє, скільки часу може знадобитися на зламування вказаного користувачем пароля. Тобто оцінює ступінь його стійкості до злому.
Отже, припустимо, що ми вирішили вигадати пароль, використовуючи розташування літер на клавіатурі - qwerty (ну дуже тривіальна комбінація). Запитуємо у сервісу.
Тепер спробуємо протестувати ключ завдовжки 6 знаків, що складається з маленьких англійських букв і цифр - ty23ds.
Результат теж невтішний: 54 мілісекунди. Звичайно, за такий час «розгадати» послідовність можна виключно автоматизованим методом. Однак у більшості випадків хакери використовують саме таку технологію.
Ускладнимо комбінацію: додамо великі літери в набір і збільшимо довжину ключа до 11 знаків. Вводимо - eYtou349i93.
Ось так уже куди краще: 41 рік доведеться лиходію-зломщику корпіти над підбором ключа (звичайно, теоретично!).
Але можна вигадати пароль і складніше: ще збільшити довжину, наприклад, до 18 символів, і поряд з літерами і цифрами використовувати спецсимволи. Щось на кшталт - ew$yu*ow)RweQ23&tT.
Результат просто «космічний» (між іншим, на радість користувачеві): розрахунковий час необхідний для підбору – 7 квадрильйонів років. А в 1 квадрильйоні, як відомо, 15 нулів. Загалом, без коментарів.
Пильні читачі, тут же, звичайно, одразу запитають: «Підбір підбиранням, а як же трояни? Вони ж крадуть паролі?». Так, інструментарій зловмисників великий: це і віруси, і социнженерія, і спеціальний софт. І складний пароль, безумовно, це бездоганна панацея від злому облікового запису. Але його сміливо можна назвати потужною захисною перешкодою на шляху хакерів до конфіденційних даних.
Правила складання пароля
Під час створення символьної комбінації для входу на сайт, незалежно від його функціоналу та призначення, обов'язково враховуйте наступні моменти:
1. Уникайте простих комбінацій. Зокрема:
- логічних послідовностей - abcde, 1234;
- клавіатурної розкладки по вертикалі, горизонталі, діагоналі та ін. - asdfg, qscwdv.
2. Не використовуйте у «чистому вигляді» (без додавання інших символів, цифр) словникові слова. Особливо такі, як "parol", "password", "admin", "my_parol".
3. Не використовуйте як ключ особисті дані, які є в відкритому доступі, наприклад, на власній сторінці у соцмережі або у профілі на форумі. Навіть із додаванням цифр! В тому числі номер телефону, дату народження, адресу поштової скриньки, ім'я, прізвище, по батькові, прізвиська домашніх тварин.
5. Не вводьте російські слова в англійській розкладці (приклад: вхід - d)
Завантаження...