Многие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких :
"password" => [
"required",
"confirmed",
"min:8",
"regex:/^(?=\S*)(?=\S*)(?=\S*[\d])\S*$/",
];
К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1 . С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.
Вот первые два пароля.
А вот два пароля, которые не пройдут проверку на надёжность.
Что же делать? Может, не стоит принуждать к использованию спецсимволов и внедрять всё новые правила, вроде запрета на повтор нескольких символов подряд, использование не одного, а двух-трёх спецсимволов и цифр, увеличение минимальной длины пароля и т д.
Вместо всего этого достаточно сделать простую вещь - просто установить ограничение на минимальную энтропию пароля, и всё! Можно использовать для этого готовый оценщик zxcvbn .
Есть и другие решения, кроме zxcvbn. Буквально на прошлой неделе на конференции по безопасности ACM Computer and Communications Security была представлена научная работа (pdf) специалистов по безопасности из научно-исследовательского подразделения Symantec Research и французского исследовательского института Eurecom. Они разработали новую программу для проверки надёжности паролей, которая оценивает примерное количество необходимых попыток брутфорса, используя метод Монте-Карло . Предлагаемый способ отличается тем, что требует минимальное количество вычислительных ресурсов на сервере, подходит для большого количества вероятностных моделей и в то же время довольно точный. Метод проверили на паролях из базы 10 млн паролей Xato, которые лежат в открытом доступе (копия на Archive.org) - он показал хороший результат. Правда, это исследование Symantec Research и Eurecom носит скорее теоретический характер, по крайней мере, свою программу они не выложили в открытый доступ в каком-либо приемлемом виде. Тем не менее, смысл работы понятен: вместо эвристических правил проверки паролей веб-сайтам желательно внедрить проверку на энтропию.
Приветствую!
Несмотря на стремительное развитие технологий и появление альтернативных способов распознавания владельца, парольная защита не сдаёт своих позиций и остаётся весьма популярной и по сей день.
Пароль превратился в обыденность и используется для доступа к устройствам и интернет сервисам. И со временем их становится только больше. Сложившаяся ситуация, в конечном итоге, приводит к тому, что пользователи начинают использовать один и тот же пароль на используемых устройствах и сервисах.
Данный подход очень опасен и грозит серьёзными последствиями. Несомненно, скомпрометированный пароль от социальной сети не несёт таких последствий, как пароль от платёжной системы. Но если они будут идентичны, то вероятность того, что доступ будет получен и к остальным используемым сервисам очень высок.
Чтобы этого не произошло, пароли должны быть сложными (стойкими к перебору) и разными.
Принципы, используемые при создании пароля
На большинстве интернет ресурсов существуют минимальные правила для устанавливаемого пароля, которых, зачастую, недостаточно для создания действительно сложного пароля. Необходимо ещё помнить о том, что:
- Логин и пароль не должен быть идентичным
- Пароль не должен состоять из личной информации (дата рождения, телефон и т.д.)
- Пароль не должен состоять исключительно из слов
К примеру, чтобы подобрать пароль, состоящий из 6 цифр – необходимо перебрать всего 1 миллион комбинаций. Современный компьютер справится с этой задачей за считанные минуты. По этой же причине не стоит полагаться на пароли, состоящие исключительно из слов и их сочетаний. Такие пароли перебираются с использованием словарей популярных слов.
Не стоит полагаться и на пароли, которые состоят из слов с добавлением цифр. Они столь же подвержены взлому, хоть на это и требуется куда больше времени. Однако, в случае успешного взлома и понесённых потерь в этой связи, едва ли это будет иметь какое-то значение.
Для лучшего понимания, какой пароль является надёжным, а какой подвержен взлому, стоит обратиться к примерам. Данные цифры были получены с помощью сервиса проверки стойкости пароля.
- Дата рождения 12071996 – 0,003 секунды
- Имя с заглавной буквы Maksim и строчной maksim – не больше полусекунды
- Сочетание, состоящее из букв и цифр 7s3a8f1m2a – около суток
- На перебор следующего сочетания vSA-DFRLLz – 1 год
- Сочетание iu2374NDHSA)DD – 204 миллиона лет
Последние два пароля демонстрируют весьма высокую стойкость к взлому. Работа злоумышленника над взломом аналогичного по сложности пароля, скорее всего, закончится ничем.
Правильно генерируем пароль
С теоретической частью мы разобрались, теперь перейдём непосредственно к генерации стойкого и надёжного пароля.
При создании сложного и стойкого пароля существенную роль играет человеческий фактор. Трудности возникают на самом начальном этапе – придумывании сложного пароля, а после – его запоминания. Ведь комбинация разрозненных символов едва ли предрасполагает к скорому запоминанию.
С проблемой генерации стойкого пароля нам помогут он-лайн сервисы. Их довольно много, из популярных русскоязычных сервисов можно отметить:
Passwordist.com
Online-Generators.ru
PassGen.ru
Работают представленные сервисы по одному принципу, от вас лишь требуется указать какие символы необходимо использовать и выбрать длину генерируемого пароля.
Отдельной особенностью сервиса Passwordist.com можно отметить возможность задать количество создаваемых паролей и генерировать варианты с лучшей читабельностью за счёт исключения похожих символов, к примеру, B и 8.
Хранение паролей
Надёжные пароли сгенерированы, но это ещё полдела. Пароли необходимо правильно хранить, дабы никто посторонний не получил к ним доступ.
В этой связи варианты с записью в текстовый файл или на стикер с последующим прикреплением к монитору сразу отпадают.
Лучше и правильнее доверить конфиденциальную информацию менеджеру паролей.
Среди популярных решений можно отметить программу KeePass . Данная программа бесплатна и в тоже время весьма функциональна. Помимо прочего в ней присутствует генератор паролей, благодаря которому отпадает необходимость в использовании он-лайн генератора.
Для доступа к базе сохранённых паролей необходимо будет установить мастер-пароль. Для его создания можно, к примеру, воспользоваться методикой набора слов в другой раскладке, дабы создать сложный пароль, но при этом самому не забыть его.
Локальная база с паролями на вашем компьютере априори будет менее подвержена взлому, нежели общедоступные сервисы в интернет, так что здесь со сложностью перебарщивать не стоит.
Проверка стойкости паролей
Если вы желаете проверить уже имеющиеся или вновь сгенерированные пароли на стойкость к взлому, то для этого существуют несколько он-лайн сервисов:
1) How Secure Is My Password? После того, как вы введёте пароль в соответствую форму на сайте, вы увидите сколько времени понадобится на взлом методом перебора. Срок в несколько миллионов лет можно считать превосходным.
2) Kaspersky Lab: Secure Password Check Данный сервис создан отечественным разработчиком популярного антивирусного решения. Он также демонстрирует примерное время, которое необходимо на взлом пароля методом перебора.
3) 2IP: Стойкость пароля Сервис категорично выносит вердикт для проверяемого пароля – он может быть либо надёжным, либо нет.
Проверяя ваши пароли не стойкость, не забывайте, что отображаемые там результаты стойкости весьма условны. Они рассчитываются исходя из средней производительности домашнего компьютера, и едва ли будут аналогичными для мощного лабораторного суперкомпьютера.
Одно успокаивает – людям, имеющим доступ к такому оборудованию, едва ли будет интересен ваш пароль от сервиса электронной почты или мессенджера.
Краткий итог
В данной статье я попытался раскрыть все аспекты парольной защиты и объяснить, почему на первый взгляд надёжный пароль по сути таковым совершенно не является.
Надеюсь, что данная информация пригодится, и будут приняты меры, которые оградят от взлома и сопутствующих последствий.
Сегодня мы поговорим о сохранности Вашей личной информации, и конечно познакомимся с несколькими полезными онлайн сервисами.
Что собственно говоря такое пароль? Это последовательность знаков в произвольном порядке, которая позволяет человеку сделать какую-то информацию недоступной для других людей. Это по сути гарантия того, что никто не сможет получить доступ к Вашей информации без Вашего на то ведома и согласия.
Но, друзья, насколько Вы уверены в том, что, защитив какой-то контент паролем, Вы отныне можете спать спокойно? Вы уверены в том, что придуманный Вами пароль невозможно узнать или подобрать? А как же сотни и тысячи случаев взлома сайтов (блогов) у людей, которые также как и Вы были полностью уверены в их недоступности для хакеров?
Как взламываются пароли
Секретное слово для доступа знаете только Вы и никто другой. Как же тогда возможно его подобрать? Всё очень просто: часто в качестве пароля используются даты либо обычные слова из словаря. Количество цифр и словарный запас человека ограничены – взлом паролей такого типа происходит обычно за несколько минут специальными программами, которые с молниеносной скоростью перебирают все возможные варианты.
Если набрать в поисковике Яндекса точную фразу «взломать пароль», мы получим 184 тыс. ответов с конкретными методами и способами осуществить это. Специалисты утверждают: на сегодняшний день уровень развития технологий и методов взлома таков, что подобрать можно абсолютно любой пароль, вопрос лишь во времени…
Проверяем пароли на устойчивость
Хотите прямо сейчас узнать, как быстро можно взломать Ваш пароль? Воспользуйтесь онлайн сервисом How Secure Is My Password . Он покажет Вам, сколько времени уйдет у хакеров, на то, чтобы подобрать Ваше секретное слово и даст Вам рекомендации по тому, что следует изменить.
Вот например результат анализа моего пароля к клиенту WebMoney (наверное я могу спать спокойно):
Создаем безопасный пароль
Если по результатам анализа выяснилось, что спать спокойно по крайней мере ближайшие несколько биллионов лет Вы можете не рассчитывать, предлагаю Вам воспользоваться услугой сервиса онлайн генератор паролей . Он поможет создать крайне надежный пароль, который отличается тем, что его невозможно взломать методом перебора. Для этого он должен содержать:
- не менее 8 символов (лучше более 12)
- строчные и прописные буквы алфавита
- цифры
- символы
Все опции легко настраиваются с помощью соответствующих чекбоксов. Я взял один из сгенерированных этим сервисом паролей и проверил его на скорость взлома. Результаты Вы может оценить сами:
Друзья, никто не позаботится о сохранности Ваших личных данных кроме Вас самих. Всегда лучше заранее предупредить неприятные последствия, чем потом решать возникшие проблемы. Описанные сегодня онлайн сервисы, как нельзя лучше помогут Вам предупредить возможные неприятности. Успехов!
В этом уроке расскажу как проверить надежность введенного пароля. Для этих целей мы будем использовать специальный сервис от "Лаборатории Касперского" под названием "Secure Password Check"
Находится он по адресу www.password.kaspersky.com/ru . Если при открытии сайта у вас все на английском, то в правом верхнем углу в списке выберите "Русский".
Этот сервис позволяет проверить на сколько сложный у вас пароль и как быстро его можно взломать. Для проверки вводим свой пароль в специальное поле.
После введения своего пароля, ниже появится шкала надежности, рекомендации по его усилению, а также информация о том как быстро его можно будет взломать.
Вот таким образом вы можете проверить свой пароль перед тем как его использовать. Экспериментируйте и создавайте свой уникальный надежный пароль. В качестве рекомендации от меня - всегда используйте буквы верхнего и нижнего регистра, а также цифры и спецсимволы.
В интернете достаточно большое количество сервисов, которые позволяют объединить несколько PDF файлов в один, но большинство из них имеет свои недостатки. Какие-то сервисы имеют ограничения на размер загружаемых файлов, а другие и вовсе делают это криво. Поэтому сегодня разберем сервис SmallPDF, который делает это максимально правильно.
В прошлых уроках я уже рассказал о двух способах как открыть заблокированный сайт с помощью функции турбо в брайзерах Опера и Яндекс . Сегодня продолжим разговаривать на эту тему и на очереди очень интересный способ, который позволит получить доступ к заблокированным сайтам .
Сегодня расскажу как отправить приватное сообщение, которое удалится после прочтения. Речь пойдет о сервисе под названием Privnote - этот сервис позволяет оправлять сообщения, которые могут быть уничтожены сразу же после прочтения.
Из этого видеоурока вы узнаете как можно проверить скорость интернета на вашем компьютере с помощью специального сервиса.
У любого пользователя есть любимые сайты: там он общается, играет, смотрит видео, слушает музыку. Кто-то совершает покупки в интернете. Конечно, для удобства пользователя регистрируются на сайтах, чтобы иметь персональный доступ к определенным услугам. Один из наиболее важных атрибутов любой учетной записи - это, конечно, пароль. Как проверить надежность пароля, его сложность - я расскажу в сегодняшней статье!
Итак, в интернете существует один очень удобный сервис проверки надежности вашего пароля. Он так и называется .
Внимание! Алгоритм проверки пароля на сложность не подразумевает воровства Ваших паролей!
Все, что Вам нужно - просто ввести пароль в форму и узнать , через какой промежуток времени можно подобрать Ваш пароль. Кроме того, внизу Вы сможете увидеть подсказки по формированию пароля:
- пароль должен быть средним\длинным - не менее 8-10 символов
- желательно использовать различные символы, буквы и цифры в пароле вперемешку
- нежелательно использовать комбинации букв и цифр, которые идут подряд на клавиатуре
Для примера, пароль администратора сайта сайт вот такой:
Надеюсь, Ваши пароли теперь будут не менее надежными и не оставят никаких шансов злоумышленникам! Удачи!
Похожие новости:
Работа с дисками
