Начало
Мы интуитивно делим все сайты на важные и те, которые просто требуют от нас регистрацию. Про вторых я и говорить не буду, для них сойдет сайт bugmenot.com или пароль типа qwertty. Гораздо интереснее говорить о первом типе, который обычно и пытаются взломать непорядочные граждане.
Обычно у нас есть 3 пароля на все случаи жизни: обычный, сложный и очень сложный. У вас их нет? Как так! Давайте срочно исправлять это недоразумение, ведь имея только простой пароль name2000 вы ставите под угрозу не только свою учетную запись, но и учетные записи друзей, ведь от вашего имени смогут рассылать спам.
Как узнать пароль
Важность знания о существующих паролях пользователя, пусть и защищающих совсем другие данные или ресурсы, трудно переоценить. Список паролей пользователя поможет не только составить словарь для атаки, но и представит ценнейшие данные для анализа
На основе такого списка можно подобрать или составить наиболее релевантный список слов для словарной атаки, настроить шаблоны, маски и правила мутаций (в приведённом выше примере можно предложить мутации “l00t”). Таким образом, предлагаем следующий план действий, направленный на получение списка паролей пользователя.
Анализ компьютеров
Если у вас есть доступ к компьютеру подозреваемого с авторизованной пользовательской сессией – попробуйте извлечь из него сохранённые пароли. Сделать это можно программой Elcomsoft Internet Password Breaker, которая по нажатию единственной кнопки не только мгновенно извлечёт все сохранённые на компьютере пароли (они извлекаются из распространённых веб-браузеров и почтовых клиентов), но и создаст готовый файл, который можно подгрузить в Elcomsoft Distributed Password Recovery в качестве словаря. Если же в вашем распоряжении – лишь зашифрованные диски, то оцените перспективы взлома шифрования до того, как приметесь работать в этом направлении.
Анализ смартфонов
В современных смартфонах может содержаться огромное количество информации, включая пароли (связка ключей, сторонние утилиты хранения паролей). Впрочем, извлечь эту информацию сможет только эксперт, имеющий квалификацию и опыт работы в мобильной криминалистике. Доступ к разблокированному iPhone может помочь сбросить пароль от компьютера под управлением macOS или узнать пароль от учётной записи Microsoft, который, в свою очередь, может использоваться для входа в систему. Более того, из самого iPhone или привязанной к нему облачной учётной записи можно извлечь и сохранённые пользователем пароли – что и является нашей целью.
Другие файлы с менее стойкой защитой
Наибольший интерес представляет анализ других зашифрованных файлов пользователя, защита которых менее устойчива по сравнению с основным контентом. Мы неоднократно писали о таких файлах; классический пример – слабое шифрование в старых форматах Microsoft Office (файлы с расширениями .doc, .xls без буквы “x” на конце). Настройте атаку на эти файлы в первую очередь, и вполне возможно, что пароль удастся подобрать в разумные сроки.
Облачные сервисы
Если у вас есть возможность извлечь данные из облачного сервиса (посредством маркера аутентификации, логина с паролем или запросом к производителю) – сделайте это. По запросу от правоохранительных органов пароли пользователя, сохранённые в облаке, возвращают компании Google (пароли из браузера Chrome) и Microsoft (соответственно, пароли из браузера Edge). Apple паролей не возвращает, ссылаясь на «сквозное шифрование». Из облачного сервиса Apple iCloud пароли вы сможете извлечь только самостоятельно с использованием Elcomsoft Phone Breaker; для этого вам, однако, потребуются как логин и пароль владельца учётной записи, так и возможность пройти проверку двухфакторной аутентификации. Кроме того, для доступа к паролям («облачной связке ключей») вам также потребуется код блокировки экрана или системный пароль одного из привязанных к данной учётной записи устройств пользователя.
Как проверить надежность пароля? Используйте инструменты проверки!
При создании пароля всем хочется сделать его надежным и сложно поддающимся взлому. Но как быть уверенным, что пароль действительно безопасен?
Используйте инструменты проверки! Существует множество онлайн-сервисов, которые позволяют оценить сложность пароля и его устойчивость к взлому. Эти сервисы анализируют пароль на предмет длины, использования различных символов, наличия повторяющихся фрагментов и других факторов, которые могут сделать пароль менее надежным.
Также существуют специальные программы для проверки паролей на вашем компьютере. Они могут не только оценить надежность пароля, но и предложить изменения, чтобы сделать его более сложным и безопасным.
Важно помнить, что надежный пароль должен состоять из минимум 8 символов (желательно 12 или более), содержать буквы (как заглавные, так и строчные), числа и специальные символы. Не используйте личные данные, такие как имя, дату рождения, номер телефона, в качестве пароля
Итак, если вы хотите быть уверены в надежности своего пароля, используйте инструменты проверки! Оцените степень его безопасности и сделайте необходимые доработки, чтобы ваша личная информация была защищена от хакеров и злоумышленников.
Защищайте Ваши Данные
Большей части читателей интересна “проверка пароля”, однако, есть множество других аспектов, о которых вам стоит позаботится, вроде защиты вашего компьютера и данных от хакеров и вирусов. Позвольте мне дать вам несколько советов, мер безопасности, которые помогут вам это сделать.
Установите Антивирусную Программу
Антивирус является необходимостью для всех, кто обеспокоен своей кибербезопасностью. Он может удалить вирусы с вашего компьютера и защитить вас от вредоносного ПО, вымогателей и шпионов.
На сегодняшний день вы можете найти как платные, так и бесплатные антивирусники, вот некоторые рекомендации для вас:
- Bitdefender Antivirus Plus 2020
- Norton AntiVirus Plus
- Webroot SecureAnywhere AntiVirus
- Avira
- Avast
Избегайте Фишинговых Сообщений
Фишинг означает кибератаку, которая использует электронные сообщения для похищения вашей персональной информации. Когда вы открываете фишинговые сообщения или скачиваете вложения из этих писем, существует риск попадания вирусов или вредоносного ПО на ваше устройство. Это позволит атакующему получить доступ к вашим личным данным, вроде учетных записей, паролей, данных кредитной карты, контактов и так далее.
Даже несмотря на то, что многие из нас уже знают, как распознать фишинговые сообщения, некоторые люди всё равно могут быть обмануты. Распознать фишинговые сообщения не так сложно, когда вы знаете их базовый шаблон и подход. Многие фишинговые сообщения приходят с публичных доменов и просят вас предоставить персональную информацию. Доменные имена очень часто неправильно написаны, а само сообщение выглядит странно, а также имеет подозрительные ссылки или вложенные файлы.
Используйте VPN
VPN (виртуальная приватная сеть) является одним из самых эффективных способов для обеспечения кибербезопасности. Она позволит вам подключиться к Интернету через безопасное и защищённое соединение. Не имеет значения, если вы используете публичную или общую сеть, с VPN всё будет как при использованиии приватной сети.
Когда вы используете публичный WiFi в магазине, кофейне или аэропорту, то различные программы могут с лёгкостью расшифровать ваши данные. VPN является одним из лучших способов защитить вас от подобных угроз, так как подобные программы нацелены на неподготовленных жертв — людей, которые не защищают свои данные. При использовании VPN вы будете оставаться вне зоны риска.
Вы можете найти множество провайдеров услуг VPN, однако, не все из них одинаково безопасны. Вот компании, которые предлагают лучшие VPN сервисы и настоятельно рекомендуются к использованию:
- ExpressVPN
- CyberGhost
Если вы выберите одного из этих провайдеров, то больше не будете беспокоиться по поводу использования публичного WiFi.
Когда нужна грубая сила
Основная идея метода полного перебора проста: в качестве потенциальных паролей опробуются все возможные комбинации указанных символов. В качестве указанных символов могут использоваться буквы (в том числе из национальных алфавитов), цифры и специальные символы. Весьма часто ограничения на использованные символы накладывается на стороне приложения или сервиса — к примеру, позволяется использовать исключительно буквы латиницы, цифры и ограниченный набор специальных символов. В то же время политики безопасности могут диктовать минимальную длину пароля и обязательное использование тех или иных элементов (например, как минимум одной заглавной буквы, цифры или специального символа); эти знания можно использовать для того, чтобы ограничить пространство паролей для перебора и таким образом сократить продолжительность атаки.
Использование грубой силы, он же – метод полного перебора, – жест отчаяния и последний шанс обнаружить пароль. Перед тем, как вы запустите атаку методом полного перебора, определите скорость атаки конкретного файла на используемом аппаратном обеспечении, проведя тестовый запуск. Если скорость перебора достаточна высокая, оцените шанс нахождения пароля в разумный срок. Как именно это сделать?
Простейшие математические вычисления позволяют точно узнать максимальную продолжительность атаки: время, за которое можно перебрать всё пространство паролей заданной длины. Формула включает число возможных символов, из которых состоит пароль, которое возводится в степень количества знаков в пароле. Так, если в качестве возможных символов используются только буквы английского алфавита (их 26), причём как строчные, так и прописные (это ещё 26), а длина пароля — 5 знаков, то возможное число комбинаций будет таким:
(26 + 26) ^ 5 = 380,204,032
Цифры экспоненциально увеличиваются с увеличением длины пароля. Например, для 7-значных паролей одного типа общее количество составляет:
(26 + 26) ^ 7 = 1,028,071,702,528
При добавлении чисел и специальных символов из расширенного диапазона число возможных комбинаций превышает возможности метода прямого перебора:
(26 + 26 + 10 + 33) ^ 7 = 69,833,729,609,375
Чтобы узнать максимальное время, в течение которого будет гарантированно найден пароль заданной длины, достаточно разделить число комбинаций на скорость перебора для заданного типа файлов средствами доступного аппаратного обеспечения. Например, если скорость перебора на компьютере для файла составит 10 миллионов комбинаций в секунду, на восстановление пароля из первого примера (5 букв, оба регистра) уйдёт не более пяти минут. Если скорость составляет 100 паролей в секунду (например, вы пытаетесь взломать зашифрованный последней версией Microsoft Office документ без использования GPU), а пароль содержит не менее 7 символов из расширенного диапазона, то максимальное время атаки увеличивается примерно до 700 миллиардов секунд или ~ 22 тысяч лет.
Основная сложность в переборе паролей состоит в том, что в большинстве случаев ни длина пароля, ни наборы использованных символов заранее неизвестны, поэтому приходится либо пробовать все возможные комбинации, либо – в первую очередь! – использовать альтернативный подход.
Как пользоваться инструментами проверки пароля?
В интернете существуют множество инструментов для проверки надежности пароля. Для того, чтобы воспользоваться ими, следует перейти на сайт с инструментом и ввести свой пароль в специальное поле на странице. Далее нужно нажать кнопку «проверить» и дождаться результата.
При проверке пароля инструмент может отобразить его сложность и надежность, а также указать, какие символы следует добавить, чтобы улучшить его безопасность. Также возможно получить рекомендации по выбору нового пароля.
В целях безопасности не следует вводить свой пароль на сайтах, которые не являются надежными или неизвестными. Также стоит следить за тем, чтобы пароли на разных сайтах отличались друг от друга и были сложными.
- После использования инструмента проверки пароля, его необходимо немедленно закрыть и не сохранять ваш пароль в браузере.
- Для увеличения безопасности пароля можно использовать генераторы случайных паролей, а также двухфакторную аутентификацию.
Используя и такие инструменты для проверки пароля, вы сможете убедиться в его надежности и защите вашей личной информации от хакеров и злоумышленников в интернете.
Хранение паролей
Надёжные пароли сгенерированы, но это ещё полдела. Пароли необходимо правильно хранить, дабы никто посторонний не получил к ним доступ.
В этой связи варианты с записью в текстовый файл или на стикер с последующим прикреплением к монитору сразу отпадают.
Лучше и правильнее доверить конфиденциальную информацию менеджеру паролей.
Среди популярных решений можно отметить программу KeePass . Данная программа бесплатна и в тоже время весьма функциональна. Помимо прочего в ней присутствует генератор паролей, благодаря которому отпадает необходимость в использовании он-лайн генератора.
Для доступа к базе сохранённых паролей необходимо будет установить мастер-пароль. Для его создания можно, к примеру, воспользоваться методикой набора слов в другой раскладке, дабы создать сложный пароль, но при этом самому не забыть его.
Локальная база с паролями на вашем компьютере априори будет менее подвержена взлому, нежели общедоступные сервисы в интернет, так что здесь со сложностью перебарщивать не стоит.
Настройка Hashcat
Инструмент, который мы собираемся использовать, называется Hashcat. Официально, он предназначен для восстановления пароля , но на практике это немного похоже на высказывание BitTorrent предназначен для загрузки незащищенных авторских прав файлов. На практике это часто используется хакерами, пытающимися взломать пароли, украденные с небезопасных серверов. Как побочный эффект, это делает его очень мощным способом проверки безопасности пароля.
Примечание: это руководство для Windows. Те из вас, кто работает в Linux, могут посмотреть видео ниже, чтобы понять, с чего начать.
Вы можете получить Hashcat с веб-страницы hashcat.net . Загрузите и разархивируйте его в папку загрузок. Далее нам нужно получить некоторые вспомогательные данные для инструмента. Мы собираемся получить список слов, который представляет собой огромную базу паролей, которую инструмент может использовать в качестве отправной точки, в частности, набор данных rockyou.txt . Загрузите его и вставьте в папку Hashcat. Убедитесь, что он называется «rockyou.txt»
Теперь нам нужен способ генерирования хэшей. Мы будем использовать WinMD5 , который представляет собой легкий бесплатный инструмент, который хэширует определенные файлы. Загрузите его, разархивируйте и поместите в каталог Hashcat. Мы собираемся создать два новых текстовых файла: hashes.txt и password.txt. Поместите оба в каталог Hashcat.
Это оно! Вы сделали
Как взломать пароль — основные методы
Наиболее распространенным методом взлома считается фишинг. Суть фишинга заключается в том, что хакер направляет пользователя на сайт, похожий на тот, которым он регулярно пользуется. Человек вводит свои данные для входа, но эти данные попадают в руки мошеннику. Зачастую фишинговая веб-страница внешне практически не отличается от оригинала. В данной ситуации не поможет даже очень сложный пароль.
Второй по популярности метод взлома – подбор паролей. Хакер использует специальную программу со встроенным словарем, которая автоматически перебирает все возможные вариации пароля. Когда находится подходящая комбинация, программа сообщает об этом злоумышленнику. Хотя многие ресурсы дают ограниченное количество попыток ввода неверного пароля, после чего ограничивают ввод капчей или таймаутом, что значительно утрудняет подбор паролей перебором.
Кроме того хакеры достаточно часто используют так называемый метод «Пауков». Многие пользователи составляют применяемые пароли из слов, связанных со своим родом деятельности, и мошенники активно пользуются этим. Прошерстив сайты конкурентов (если речь идет о компании), а также почитав специальную литературу, хакеры предельно сужают круг возможных комбинаций.
Не менее распространен и социальный инжиниринг. Хакер пытается выманить у пользователя ответ на секретный вопрос, чтобы воспользоваться функцией восстановления пароля. Мошенник добавляется в друзья к своей потенциальной жертве и в процессе общения ненавязчиво узнает кличку собаки, название любимой компьютерной игры, музыкальной группы и так далее.
Принципы, используемые при создании пароля
На большинстве интернет ресурсов существуют минимальные правила для устанавливаемого пароля, которых, зачастую, недостаточно для создания действительно сложного пароля. Необходимо ещё помнить о том, что:
- Логин и пароль не должен быть идентичным
- Пароль не должен состоять из личной информации (дата рождения, телефон и т.д.)
- Пароль не должен состоять исключительно из слов
На первый взгляд эти рекомендации могут показаться избыточными, но давайте посмотрим, каким образом происходит взлом простых паролей.
К примеру, чтобы подобрать пароль, состоящий из 6 цифр – необходимо перебрать всего 1 миллион комбинаций. Современный компьютер справится с этой задачей за считанные минуты. По этой же причине не стоит полагаться на пароли, состоящие исключительно из слов и их сочетаний. Такие пароли перебираются с использованием словарей популярных слов.
Не стоит полагаться и на пароли, которые состоят из слов с добавлением цифр. Они столь же подвержены взлому, хоть на это и требуется куда больше времени. Однако, в случае успешного взлома и понесённых потерь в этой связи, едва ли это будет иметь какое-то значение.
Для лучшего понимания, какой пароль является надёжным, а какой подвержен взлому, стоит обратиться к примерам. Данные цифры были получены с помощью сервиса проверки стойкости пароля.
- Дата рождения 12071996 – 0,003 секунды
- Имя с заглавной буквы Maksim и строчной maksim – не больше полусекунды
- Сочетание, состоящее из букв и цифр 7s3a8f1m2a – около суток
- На перебор следующего сочетания vSA-DFRLLz – 1 год
- Сочетание iu2374NDHSA)DD – 204 миллиона лет
Последние два пароля демонстрируют весьма высокую стойкость к взлому. Работа злоумышленника над взломом аналогичного по сложности пароля, скорее всего, закончится ничем.
Использование диспетчера паролей
Здесь вам на помощь приходят генераторы паролей. В конце концов, программа защитит вас от хакерской программы лучше, чем человеческий разум. Например, пароль &*Td^zJxsQkF обеспечивает высокий уровень безопасности, и, возможно, вы смогли бы его сгенерировать сами. Но поведение человека очень предсказуемо, и мы часто используем одни и те же принципы выбора символов на клавиатуре, даже если пытаемся выбирать случайные комбинации.
Пользуйтесь двухэтапной проверкой
Двухэтапная проверка предполагает применение двух методов обеспечения безопасности для доступа к аккаунту, и обычно для этого требуется несколько устройств. Распространенным методом является запрос пароля на первом этапе, а затем ввод одноразового кода, отправленного в SMS-сообщении, на втором этапе. Другие методы — это автоматический телефонный звонок на номер мобильного телефона, к которому привязан аккаунт, или получение кода на адрес электронной почты, отличный от того, который вы использовали для создания аккаунта. Идея состоит в том, что даже если хакер получит доступ к вашему оригинальному аккаунту, маловероятно, что у него также окажется в распоряжении ваш телефон и дополнительная электронная почта. Dropbox предоставляет возможность двухэтапной проверки для вашего аккаунта. Это означает, что ваши документы защищены вдвойне благодаря использованию SMS-сообщений или мобильного приложения для проверки подлинности.
Пользуйтесь надежными и безопасными сайтами и файлообменниками
В адресной строке безопасных сайтов отображается значок замка, поэтому крайне важно убедиться в его наличии, прежде чем совершать что-либо, например онлайн-шопинг или обмен личной информацией. Подавляющее большинство сайтов имеют эту функцию, но, если вы планируете размещать на каких-то из них файлы и папки, вам нужно удостовериться, что соответствующие сайты имеют еще более высокую степень защиты
Например, Dropbox использует шифрование, которое отвечает самым строгим законодательным требованиям и обеспечивает несколько уровней защиты в облаке.
Не пользуйтесь общедоступным или небезопасным Wi-Fi
Общедоступная сеть Wi-Fi обеспечивает открытое соединение, а это означает, что таким соединением может воспользоваться кто угодно. Злоумышленнику достаточно подключиться к этой сети, и он сможет быстро воспользоваться данными других пользователей в своих интересах. Опыт показывает, что никогда не нужно делиться такой информацией, как банковские реквизиты или номера кредитных карт, используя общедоступную сеть Wi-Fi.
Обеспечение безопасности пароля чрезвычайно важно и означает, что перечисленные выше шаги должны войти у вас в привычку. Мы всего лишь люди, и нам сложно запоминать множество паролей, но, к счастью, для этого существуют диспетчеры паролей
Даже если вы великолепно умеете управлять своими паролями, помните, что безопасности никогда не бывает слишком много. Независимо от того, являетесь ли вы собственником бизнеса, фрилансером или просто обмениваетесь документами с друзьями, Dropbox ценит вашу безопасность так же высоко, как и вы.
Какие данные хранятся на компьютере?
Компьютер хранит разнообразные данные, которые могут быть ценными и конфиденциальными. Вот некоторые из основных типов данных, которые обычно хранятся на компьютере:
1. Личные данные: Ваше имя, адрес, номер телефона, электронная почта и другая личная информация. Эти данные могут использоваться для идентификации вас как пользователя компьютера.
2. Файлы и документы: Это включает в себя все типы файлов, которые вы создаете или загружаете на компьютер, такие как текстовые документы, фотографии, видео, аудио и другие медиафайлы. В этих файлах может содержаться информация о ваших приватных делах, финансовых данных, личных фотографиях и прочем.
3. Программы и приложения: Компьютер хранит установленные программы и приложения, которые вы используете для выполнения различных задач. В этих программах может быть сохранена информация, связанная с вашими аккаунтами, паролями, настройками и другими конфиденциальными данными.
4. История веб-браузера: Ваш веб-браузер может сохранять историю посещенных сайтов, куки, пароли и другую информацию, которую вы вводите на веб-страницах. Эти данные могут раскрывать ваши предпочтения, привычки и другие личные сведения.
5. Кэшированные данные: Компьютер может сохранять временные файлы и кэшированные данные, чтобы ускорить загрузку веб-страниц и других ресурсов. В этих данных может содержаться информация о ваших посещенных сайтах, картинках, видео и других файловых ресурсах.
6. Контакты и календари: На компьютере могут храниться данные из вашего адресной книги, контактов, календарей и других организационных данных. В этих данных может быть информация о ваших деловых контактах, встречах, событиях и других конфиденциальных сведениях.
7. Социальные сети и мессенджеры: Если вы используете социальные сети или мессенджеры на компьютере, то ваши данные, такие как сообщения, фотографии, контакты и другая информация, могут быть сохранены на компьютере.
8. Системные настройки: Компьютер хранит системные настройки, такие как настройки безопасности, сетевые настройки, настройки экрана и другие параметры. В этих настройках может содержаться информация, связанная с вашими паролями, серийными номерами и другими конфиденциальными данными.
Это лишь некоторые примеры того, какие данные могут храниться на компьютере
Важно обеспечить безопасность и защиту всех этих данных от несанкционированного доступа
Использование паролей из утечек
Важный шаг при проведении «холодных» атак – использование паролей из многочисленных утечек. Принцип этого метода основан на том, что пользователи часто используют одни и те же пароли в силу их простоты и лёгкости в запоминании. Такие пароли могут использоваться многократно на разных ресурсах и совершенно разными пользователями. Классический пример – пароль “Password1”, в точности отвечающий политике безопасности «минимум 8 символов, как минимум одна заглавная буква и как минимум одна цифра». Подобных паролей – множество; имеет смысл использовать такие пароли в качестве словаря.
Как узнать, какие пароли пользуются популярностью среди пользователей? На этот вопрос существует точный ответ: достаточно проанализировать массовые утечки паролей из таких известных сервисов, как LinkedIn, eBay, Twitter, Dropbox и некоторых других. В результате взлома этих сервисов становились известными сотни миллионов паролей. Исследователь безопасности Mark Burnett собрал все известные утечки воедино и обработал данные, отсортировав все утёкшие пароли по популярности и отфильтровав дубликаты, получив в результате список из 10,000 наиболее распространённых паролей. Этот и подобные списки можно получить по одной из ссылок:
- SecLists/Passwords/Common-Credentials at master · danielmiessler/SecLists · GitHub
- Список из 100,000 наиболее популярных паролей
- 10,000 Top Passwords | by Mark Burnett | XATO: Information Security by Mark Burnett
- Today I Am Releasing Ten Million Passwords | by Mark Burnett | XATO: Information Security by Mark Burnett
Анализ паролей из утечек позволил обнаружить закономерности в поведении англоязычных пользователей.
- 0.5% пользователей используют слово password в качестве пароля
- 0.4% пользователей в качестве пароля используют последовательности password или 123456
- 0.9% используют password, 123456 или 12345678;
- 1.6% используют пароль из десятки самых распространённых (top-10)
- 4.4% используют пароль из первой сотни (top-100)
- 9.7% используют пароль из top-500
- 13.2% используют из top-1,000
- 30% используют из top-10,000
Ещё одна закономерность заключается в том, что увеличение размера словаря с 10,000 до 10 миллионов паролей не даёт заметного прироста эффективности атак и не имеет смысла ввиду тысячекратно увеличивающегося времени перебора. Соответственно, использование компактного словаря из 10,000 «утёкших» паролей с 30% вероятностью успеха является более эффективным использованием вычислительных ресурсов.
Используя список из 10,000 утёкших паролей, сместим вектор атаки на зашифрованные данные и защищённые паролем ресурсы. Вместо бесконечного увеличения вычислительной мощности системы, на которой производится перебор паролей, можно подключить словарь из 10,000 самых популярных паролей и провести быструю атаку по словарю. Даже на самых стойких форматах на системе, оборудованной графическим ускорителем, время, потраченное на такую атаку, составит считанные секунды.
Рекомендации по обеспечению безопасности паролей
Теперь вы знаете, что не нужно делать. Но как обеспечить безопасность своих цифровых данных и действий в Интернете? Ниже кратко изложено, что для этого нужно делать, а чего нельзя:
Используйте надежный и уникальный пароль, который нигде не повторяется
Надежный пароль уникален. Как видно из названия, он абсолютно уникален для вас как для пользователя и для вашего аккаунта. Нельзя использовать этот пароль где-либо еще либо связывать его с любым другим аккаунтом или именем пользователя. По-настоящему надежный и уникальный пароль содержит следующее:
- символы верхнего регистра,
- символы нижнего регистра,
- специальные символы (!#%$*),
- цифры,
- больше 15 символов.
Руководствуйтесь здравым смыслом. Вам не нужно быть хакером или киберпреступником, чтобы понимать: гораздо легче взломать пароль из пяти символов, чем из 20, а пароль qwerty, состоящий из первых шести букв в левом верхнем углу вашей клавиатуры, очень просто угадать. Избегайте цифр и символов, которые явно заменяют буквы, например 0 вместо О, 8 вместо В и $ вместо s. Также старайтесь менять пароли раз в полгода, чтобы лучше защитить свою личную информацию в Интернете. Возможно, это покажется вам чрезмерной перестраховкой, но безопасности в Интернете много не бывает.
Анализ: Самые популярные слова в паролях
В настоящем разделе представлены результаты анализа самых популярных слов, используемых в паролях. Из данного раздела исключены последовательности цифр (например, “123456” и т.д.). (Примечание: Позже мы добавим цифровые комбинации в наш анализ).
Мировые тенденции
- Слово “пароль” является самым популярным среди пользователей по всему миру, а также среди пользователей домена .edu и пользователей из США. Вариации данного пароля в других языках, например “passwort” (Германия) или “motdepasse” (Франция), также представлены в соответствующих списках данных стран.
- Помимо этого, в отдельных странах и во всем мире популярны слова “ангел”, “дракон”, “супермен” и другие слова, находящие отражение в культуре широкой категории пользователей.
- Большинство европейских пользователей (в частности из Испании и Италии) предпочитают использовать в качестве паролей имена.
- Согласно нашему исследованию, российские пользователи отличаются от пользователей из других стран. Вместо смысловых слов они предпочитают использовать комбинации клавиш, даже в случае использования в качестве паролей буквенно-цифровых комбинаций.
Имена в паролях
Имена часто используются в паролях, особенно это касается имен, указанных в адресах электронной почты – такой пароль используют 4.19% пользователей по всему миру. Чаще других пользователей подобные простые для взлома пароли используют итальянцы (4.13%), русские (3.79%) и немцы (2.51%).
Комбинация имя + 123 в паролях
Комбинация “123”, добавленная до или после имени из адреса электронной почты, встречается в 0.03% паролей пользователей со всего мира. Добавление случайных цифровых комбинаций к паролю – хороший способ усложнить пароль, однако подобная простая комбинация слишком популярна, поэтому хакерам не составит труда взломать такой пароль.
Известные люди, бренды и популярные личности в паролях
При анализе 9,3 миллиона пользователей со всего мира мы обнаружили, что их пароли часто полностью или частично содержат имена известных культурных и исторических личностей.
Не удивительно, что культурные особенности значительно влияют на выбор пароля.
Лидерами являются слова “Christ” (Христос) и “Jesus” (Иисус), которые упоминаются в паролях 7 432 и 7 414 раза соответственно.
Три бренда – “Google” (7 057 раз), “Apple” (6 240), и “Samsung” (2 866) – также вошли в топ-10.
Еще одним популярным паролем является название телесериала “Friends” (Друзья) с 4 289 упоминаниями, при этом “Starwars” (Звездные войны) встречается 2 237 раза.
Известный спортсмен “Ronaldo” занял 10 место с 1 265 упоминаниями.
Краткий итог
В данной статье я попытался раскрыть все аспекты парольной защиты и объяснить, почему на первый взгляд надёжный пароль по сути таковым совершенно не является.
Надеюсь, что данная информация пригодится, и будут приняты меры, которые оградят от взлома и сопутствующих последствий.
Многие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких :
«password» => [
«required»,
«confirmed»,
«min:8»,
«regex:/^(?=\S*)(?=\S*)(?=\S*)\S*$/»,
];
К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1 . С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.
Вот первые два пароля.
А вот два пароля, которые не пройдут проверку на надёжность.
Что же делать? Может, не стоит принуждать к использованию спецсимволов и внедрять всё новые правила, вроде запрета на повтор нескольких символов подряд, использование не одного, а двух-трёх спецсимволов и цифр, увеличение минимальной длины пароля и т д.
Вместо всего этого достаточно сделать простую вещь — просто установить ограничение на минимальную энтропию
пароля, и всё! Можно использовать для этого готовый оценщик zxcvbn .
Есть и другие решения, кроме zxcvbn. Буквально на прошлой неделе на конференции по безопасности ACM Computer and Communications Security была представлена научная работа (pdf) специалистов по безопасности из научно-исследовательского подразделения Symantec Research и французского исследовательского института Eurecom. Они разработали новую программу для проверки надёжности паролей, которая оценивает примерное количество необходимых попыток брутфорса, используя метод Монте-Карло . Предлагаемый способ отличается тем, что требует минимальное количество вычислительных ресурсов на сервере, подходит для большого количества вероятностных моделей и в то же время довольно точный. Метод проверили на паролях из базы 10 млн паролей Xato, которые лежат в открытом доступе (копия на Archive.org) — он показал хороший результат. Правда, это исследование Symantec Research и Eurecom носит скорее теоретический характер, по крайней мере, свою программу они не выложили в открытый доступ в каком-либо приемлемом виде. Тем не менее, смысл работы понятен: вместо эвристических правил проверки паролей веб-сайтам желательно внедрить проверку на энтропию.