Как создать сложный пароль: Как составить надежный пароль

Содержание

Как создавать надёжные пароли и грамотно хранить их

Если верить книге Rock Breaks Scissors, каждый сотый пароль в мире представляет собой комбинацию qwerty, password, 123456 или 12345678. При таком раскладе статистика Dashlane, согласно которой в прошлом году было взломано более 2,5 миллиарда аккаунтов, уже не кажется столь преувеличенной.

Быть может, пора уже перестать забивать на элементарные правила информационной безопасности и наконец-то установить надёжные пароли? Сейчас Лайфхакер научит вас создавать комбинации, на взлом которых потребуются тысячелетия, и безопасно их хранить.

Каким должен быть надёжный пароль

Когда-то приемлемым считался пароль наподобие Pa55w0rd. Сейчас такие комбинации подбираются моментально. Позже к рекомендациям по созданию надёжных паролей добавилось включение специальных символов, но и это давно не помогает. Комбинация P@$5w0rd подбирается за несколько часов.

Проверить надёжность своих паролей можно на сайте наподобие How Secure is My Password.

Если вы боитесь, что этот сервис уведёт ваши аккаунты, просто вводите похожие комбинации вместо реальных.

Главное в таком сервисе — это возможность понять, что именно влияет на надёжность пароля. Начните удлинять комбинации, добавляя к ним дополнительные символы, и наблюдайте за изменением ожидаемого времени на подбор.

Получается, чем длиннее пароль, тем он надёжнее. Подбор простой, но длинной комбинации из 12 случайных цифр и букв займёт 24 года. Добавьте к ней всего один символ, и злоумышленнику потребуется уже тысяча лет. 14 символов — 42 тысячи лет. 15 символов — 2 миллиона лет. Пароль из 16 букв и цифр подбирается за 74 миллиона лет. Остаётся пожелать взломщикам удачи и терпения.

Как создавать надёжные пароли

Очевидно, что даже очень длинная комбинация, состоящая из единичек, вскрывается на раз-два. Сложнее всего угадать математически случайные наборы символов, но человеческий мозг не силён в этом деле. Пытаясь придумать что-то сложное, но при этом простое для запоминания, мы неизбежно обращаемся к каким-то датам, событиям и подобным известным комбинациям.

Проще говоря, человек мыслит предсказуемо, а вот специальные машинные алгоритмы умеют генерировать по-настоящему случайные комбинации.

Для создания длинных надёжных паролей отлично подходит генератор паролей от Лайфхакера.

Обратите внимание на факты и советы, размещённые на странице сервиса:

  • Генерируемые пароли передаются в ваш браузер по защищённому протоколу.
  • Генерируемые пароли не сохраняются на серверах сервиса.
  • Использование онлайн-сервисов подходит для генерации паролей к чему-то не слишком важному.
  • Никогда не используйте онлайн-сервисы для генерации паролей к критически важным аккаунтам.

Получается, самые важные пароли всё-таки нужно придумывать самому.

Как придумать адский пароль, который легко запомнить →

Как хранить пароли

Проблема длинных паролей в сложности их запоминания. Вряд ли вы удержите в голове пару десятков комбинаций, состоящих из 14 и более знаков и включающих спецсимволы.

Решением может стать использование специального приложения-хранилища. Грубо говоря, это цифровой защищённый сейф, в котором лежат все ваши пароли. Чтобы открыть сейф, нужен мастер-пароль. Соответственно, вместо десятков комбинаций вам нужно будет держать в голове только одну, открывающую доступ ко всем остальным.

10 приложений для хранения паролей →

При таком подходе важно помнить о правиле цепи, согласно которому надёжность всей системы равна надёжности её самого слабого звена. Проще говоря, мастер-пароль должен быть действительно сложным и длинным, а беречь его нужно особенно тщательно.

Если вы вообще не доверяете приложениям, то попробуйте «ПарольКарту».

Это карточка с набором символов, которую нужно распечатать, а затем самостоятельно разработать понятный для себя алгоритм создания паролей.

Как сделать пароль надежным и запоминающимся / Блог компании ua-hosting.company / Хабр

Пароли стоят на страже наших данных. И степень их надежности играет важную роль. Понятно, что сложный пароль и взломать будет непросто. Вот только личных счетов и систем, требующих авторизацию, очень много. И помнить десятки, если не сотни различных комбинаций из символов — практически невозможно.

Как сделать пароль более надежным и при этом его не забыть? Есть несколько вариантов…

Шифр простой замены

Шифры замены — класс методов шифрования, существующий практически столько же, сколько и алфавит. Его суть состоит в замене букв другими буквами, числами или символами (отсылка к криптографии).

Не углубляясь в особенности и тонкости шифра, можно выбрать самый простой метод шифрования — тот, где заменяется каждая буква следующей за ней в алфавите. Для примера возьмем слова «cat» и «dog». Зашифровываем: за с в алфавите идет d (c=d), за a будет b (a=b), ну и за t следует u (t=u). Ta же формула и для второго слова: d=e, o=p, g=h. В результате получаем два шифра — dbu и eph.


Шифр простой замены букв (через две)

Шифр простой замены нельзя назвать очень уж надежным. Его совсем не сложно взломать, если сопоставить несколько зашифрованных предложений или знать принципы использования. Но можно поэкспериментировать и разнообразить метод. Например, задать собственный порядок замены букв, добавить числа и т.д.


Один из вариантов шифрования, описанного в рассказе Конана Дойля «Пляшущие человечки»

Мнемонический код

Можно воспользоваться излюбленным методом фокусников и магов — мнемоникой. Она помогает визуализировать объект с помощью его полного описания, упрощая тем самым запоминание или идентификацию. Подобный принцип используется в известной поговорке про цвета радуги: «Каждый (Красный) охотник (Оранжевый) желает (Желтый) знать (Зеленый), где (Голубой) сидит (Синий) фазан (Фиолетовый)».

В упрощенном виде все выглядит примерно так: «а — это ананас, б — это банан, в — это вишня». Для построения пароля, используйте слова, соответствующие буквам.

Запоминание последовательности цветов радуги

Например, нужно создать пароль для сайта bank.com. Возьмем за основу код из первых двух букв от названия веб-ресурса «b» и «a». Согласно конструкции «b is for banana, a is for apple» получится «bananaapple». Добавьте между ними дефис и пароль приобретет еще и необходимый символ. А если объединить это все с шифром простой замены, пароль для bank.com станет по-истине надежным nsmsms=s[[;r.

Название сайта в конце пароля

Технический директор компании по сетевой безопасности Panda Security Луис Корронс предлагает следующий вариант:
Чтобы сделать пароль уникальным для каждого сайта (без необходимости его записывать) можно добавить название веб-ресурса в его конец.

Рассмотрим подробнее на примере все того же сайта bank.com. К выбранному паролю в конце добавим приставку «-bank». Получится более сложная конструкция, делающая пароль и понятным и сложным. Тоже самое проделываем с учетными записями в социальных сетях «-twitter», «-facebook» и «-linkedin» или сокращенные варианты вроде «-twit», «-face» и «-link».
Временные рамки

Есть компании, которые вынуждают своих клиентов менять пароли раз в полгода или год. Тут тоже можно найти решение. Просто добавляйте необходимый год, квартал к началу или концу пароля. Возьмем за основу уже знакомый пароль «banana», добавим к нему наступающий 2016 год и 1-й квартал. Получается banana-16-q1. А если произвести перемещения всего по одному ключу на клавиатуре, пароль существенно усложнится и обретет вид nsmsms=3-25=j3.

И вот — наш уникальный пароль, довольно сложный, надежный, который можно запомнить и без особого труда регулярно изменять (по месяцам или годам).

Размер имеет значение

Помимо шифровки стоит поговорить и о качестве самого пароля. Его длина имеет важное значение. Полный набор включает 26 строчных букв, 26 прописных и 10 цифр. Также в пароле может использоваться приблизительно 30 специальных знаков. Это все говорит о том, что для каждого символа, добавленного к паролю, число возможных вариантов увеличивается в 90 раз.

По словам генерального директора фирмы сетевой безопасности FlowTraq Винсента Берка:

Большинство веб-сайтов и компаний нуждаются в паролях, которые насчитывают комбинацию как минимум из 10 символов нижнего и верхнего регистра, при этом включают число и один или несколько специальных знаков

В последнее время специалисты по безопасности рекомендуют увеличивать длину пароля вообще до двенадцати знаков. По их мнению 12 — минимум. Данная теория сформировалась на основе исследования, которое было проведено в Технологическом институте (штат Джорджия, США). Исследователи использовали группы видеокарт, чтобы взломать восьмизначные пароли и пришли к выводу, что для этого достаточно двух-трех часов. Для взлома были задействованы графические процессоры — системные компоненты, разработанные для удовлетворения потребностей современных геймеров.

Пароли из семи символов квалифицируются, как «безнадежно несоответствующие». Исследователи, занимающиеся вопросами безопасности данных, пришли к заключению, что на взлом паролей из двенадцати символов с современными технологиями уйдет около 17,000 лет. Правда, технологическое развитие настолько стремительно, что сложно давать точные прогнозы.

Оригинальность пароля

Разумеется, не одна только длина делает пароль надежным. Он не должен быть легким для угадывания или предсказуемым. Например, пароль LadyGaga — хорош только для преданного поклонника или для самой певицы. Набор цифр 1234567890 тоже не пойдет — слишком очевидно, что даже ребенок может его взломать, набирая подряд все десять цифр на клавиатуре. Ненадежной будет и комбинация из серии password1234, пусть даже она состоит из двенадцати символов.

Стоит придумывать сложные и не распространенные пароли. Лучше избегать слов, которые можно найти в словарях любого языка. Популярные замены букв числами (0 вместо «o», 4 вместо «a») не играют особой роли. Не желательно повторять один и тот же пароль много раз. Хотя именно это и делают пользователи, согласно ноябрьскому исследованию RSA 69%. Результаты продемонстрировали, что потребители многократно используют однажды придуманный ими пароль (при том, что почти 50% из них были жертвами атак со стороны хакеров).

Предложения-подсказки

Большинство экспертов по безопасности сходятся во мнении, что пароли должны быть легко запоминающимися, но трудно угадываемыми. Слишком сложные и непонятные комбинации из символов попросту забудутся. А записывать пароли на стикерах, бумажках, в блокнотах или где-то еще — не самая удачная идея. Тут уж лучше ограничится подсказкой, понятной только хозяину, но не кому-то другому.

Один из параметров, делающий пароль более сложным, состоит в том, чтобы использовать действительно жесткие конструкции. Вряд ли кто-то сможет запомнить набор из двадцати знаков, вроде GdzIQaZyVaFgbh7dlu46. Фактически, такие пароли довольно «болезненно» использовать вообще. С другой стороны, их в самом деле будет трудно взломать. Подобные пароли хороши для систем, требующих особой безопасности и не используемых часто.

В качестве пароля можно использовать фразу, предварительно кодируя ее. Например на английском «I want to be at the beach» в кодировке может выглядеть, как iw2b@theBeach. Запоминающийся пароль, который будет достаточно сложным для взлома. Под каждую систему возможно подобрать различное окончание. Некоторые системы позволяют даже использовать полные предложение в качестве паролей. Такие пароли не забудутся и будут довольно надежными.

В целях повышения безопасности данных известным облачным хранилищем данных Dropbox был создан список из паролей, которые запрещено использовать. В списке находится около 85100 паролей.

А Университет Южного Уэльса провел исследования, результаты которого показали, что:
4,7% пользователей используют пароль password;
8,5% пользователей выбирают один из двух вариантов: password или 123456;
9,8% пользователей выбирают один из трёх вариантов: password, 123456 или 12345678;
14% пользователей выбирают один из 10 самых популярных паролей;
40% пользователей выбирают один из 100 самых популярных паролей;
79% пользователей выбирают один из 500 самых популярных паролей;
91% пользователей выбирает один из 1 000 самых популярных паролей.

А вот топ-25 самых популярных паролей в мире:

password
123456
12345
12345678
qwerty
123456789
1234
baseball
dragon
football
pussy
1234567
monkey
letmein
abc123
111111
mustang
access
shadow
master
michael
superman
696969
123123
batman

Придумать надежный пароль и запомнить его

Как сгенерировать уникальный пароль и запомнить его без программ?

Тебе нужен пароль? Тебе нужен длинный пароль? Тебе нужен длинный пароль с цифрами, заглавной буквой и спецсимволом? Ты его получишь и запомнишь, обещаю! Я расскажу тебе один проверенный прием.

Не важно, где ты регистрируешься, на любом сайте ты оставляешь личную информацию о себе, защищенную паролем. Чем раньше ты придумаешь себе сложный и уникальный пароль, тем быстрее приучишь себя к порядку и сделаешь все возможное, чтобы твои учетные записи не были взломаны.  

Да, сейчас наиболее важные сервисы используют двухфакторную авторизацию. Даже узнав твой пароль, мошенник не войдет в учетку, так как вход надо подтвердить кодом, который пришел к по смс на твой телефон. 

Но согласись — мало приятного, осознавать, что твой единственный пароль от всех сервисов стал известен кому-то. И теперь только вопрос времени, когда он попробует его ввести на других сайтах в связке с твоим емейлом. А там — бонусные баллы в магазинах, твои адреса доставки и другие персональные данные.

Чем популярнее сайт, тем сложнее у него требования к паролю. Уже недостаточно иметь просто длинный пароль, наверняка уже не раз встречался с назойливыми и, порой, неадекватными требованиями.

Формула

Всё дело в Формуле. Она состоит из 4 частей.

Сначала тебе потребуется простое слово. Желательно, чтобы это слово легко переводилось на английский и содержало не меньше 5 символов. Для примера возьмем слово пианино. И пишем так, будто оно расположено в начале приложения, с большой буквы: Pianino.

Затем понадобится комбинация из цифр, 2-3 достаточно. Желательно не иметь повторений символов и подряд идущих цифр. Некоторым сайтам это может не понравиться. Возьми число твоего рождения или счастливое число, чтобы легче запоминать.

А теперь лайфхак. 3 часть не надо придумывать или запоминать! Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM — значит будет GOO.

3 части пароля готовы. И теперь вишенка на торте. Выбирай любой спецсимвол, который тебе нравится, пусть будет знак вопроса “?”.

Финальный аккорд. Записываем пароль по формуле, которую ты сам себе сейчас сочинишь, расположив эти части как тебе угодно. 

Формулу компонуем по принципу:

или

Вот лишь некоторые примеры, что может получиться:

  • 12Pianino?YAN

  • ?YANPianino12

  • Pianino?YAN12

  • Pianino12YAN?

Главное запомнить формулу, по которой ты будешь его генерировать. Экспериментируй с вариантами и дальше, перемещай заглавную букву, дублируй части и так далее.

Резюме

Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома, так как нет гарантии, что пароль не будет скомпрометирован самим сервисом, где ты его вбивал. Однако, гарантирую, что он удовлетворяет подавляющему большинству сайтов с самыми жесткими требованиями к паролям и то, что такого пароля нет ни в каких базах паролей. А самое главное, что если такой пароль похитят, то он не сможет быть применен в другом месте, так как он уникален за счет частички адреса.

Интернет без бед на весьма неплохом канале

Данная статья в видео формате.

Уважаемый, хочу представить твоему вниманию проект «Интернет без бед».

Советы и приемы, которыми может воспользоваться каждый пользователь домашнего компьютера, чтобы обезопасить себя в интернете, а не только профессионал в этой области.

Контент только начинаю генерить. Буду откровенно рад любым замечаниям или вопросам, которые не дают спать спокойно, от продвинутой аудитории на Хабре. Спасибо.

Подробней о миссии: https://www.youtube.com/watch?v=bt6Us…

Телеграм-канал о безопасности в сети: https://t.me/internetnotbad

#internetnotbad #интернетбезбед

PS> UPD. 20.11.2020

Спасибо сообществу за активную жизнь в комментариях. Это очень полезно и все вы по-своему правы.

Как я и говорил, цель статьи: предложить легкую для запоминания в уме формулу создания пароля с всеми требуемыми самой жесткой парольной политикой составляющими. Помочь тем людям, которые не хотят связываться с доп. ПО, но им приходится выдумывать пароли с усложнениями из-за этих требований, после чего они их благополучно забывают.

Вопрос надежности тут стоит довольно просто: любой такой пароль будет сложнее подобрать, чем просто набор строчных букв. Проверил на сайте https://www.security.org/how-secure-is-my-password/

Проверка пароля по формуле

Проверка VASYA123

Для аналитики могу предложить почитать статью:

Исследование на тему паролей

Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на р. ..

habr.com

Из которой можно взять на заметку, что обычные юзеры популярных сайтов очень часто используют лишь буквенные пароли и не заморачиваются. Знание мнемонических приемов, которыми не ограничивается приведенный в этой статье вариант, значительно помогает запоминать важную информацию, в частности — пароль.

Как создать сложный пароль

Введение

Одной из самых существенных проблем, связанных с обеспечением безопасности в организации являются пароли к учетным записям важных пользователей. Даже если вы тщательно спланируете и настроите параметры безопасности групповой политики, включая настройки брандмауэра в режиме повышенной безопасности, развернете антивирусное программное обеспечение и будете поддерживать в обновленном состоянии систему и антивирусное ПО, настроите политики IPSec, развернете сервера защиты доступа к сети, а у учетных записей ваших пользователей будут недостаточно сложные пароли, безопасность всей вашей компании может быть под угрозой.

Разумеется, вы можете, и даже должны, при помощи групповой политики задать ограничение по созданию сложных паролей, установить интервал для блокировки учетной записи в случае неправильного ввода пароля, а также настроить политики аудита для анализа неудачных попыток входа в систему. Но даже пароли, которые операционная система будет считать сложными (то есть длина пароля будет превышать определенное количество символов, пароль будет содержать символы верхнего, нижнего регистра, а также цифры), могут на самом деле оказаться уязвимыми и простыми для злоумышленников, которые будут их взламывать. Именно этот этап обеспечения безопасности вашей компании может оказаться для вас наиболее сложным, так как здесь ваше участие играет лишь посредственную роль, а любое халатное отношение со стороны ваших пользователей может летально сказаться на инфраструктуре всей компании. Другими словами, в этом случае вам нужно постараться заставить ваших же пользователей создавать безопасные пароли, запоминать их, периодически эти пароли менять, а также держать эти пароли при себе, что, по сути, может оказаться намного сложнее, чем спланировать инфраструктуру организации, а также развернуть и поддерживать в рабочем состоянии сервера с соответствующими серверными ролями.

В этой статье я немного расскажу о том по каким причинам какие пароли нельзя создавать, а также как именно нужно создавать пароли для своих учетных записей. Рассмотрим все по прядку.

Методы взлома паролей

К одному из наиболее распространенных методов атаки на любую инфраструктуру можно отнести взлом паролей пользователей, которые проходят проверку подлинности для того чтобы можно было получить доступ к внутренней сети организации. Соответственно, если злоумышленник получит доступ к учетной записи пользователя, у него будет возможность достучаться до каких-либо внутренних документов компании и к прочей защищенной информации. Помимо учетных записей пользователей для доступа к внутренней сети организации, также часто злоумышленники стараются взламывать аккаунты электронной почты, социальных сетей, блогов и прочего. Поэтому пользователям следует объяснить, что нельзя для всех своих учетных записей использовать одинаковый пароль, а уж тем более простой пароль.

В принципе, существует много методов взлома паролей, но в этой статье будут вкратце рассмотрены лишь основные методы, которые наиболее распространены в наше время. К этим методам можно отнести логическое угадывание, перебор паролей по словарю, метод грубой силы (или полный перебор), а также самый серьезный метод – использование человеческого фактора.

Логическое угадывание

Этот метод является самым простым, и начинают обычно именно с логического угадывания пароля. Например, злоумышленник может попробовать угадать пароль ваших пользователей, зная имя, фамилию вашего пользователя и, скажем, его год рождения. Например, если пользователь создаст пароль типа «Фамилия + год рождения» или логин, указанный в обратном порядке, можно особо не волноваться, такой пароль будет взломан через несколько минут.

Перебор паролей по словарю

Так как многие пользователи в качестве паролей любят указывать к какой-либо своей учетной записи одно слово, будь то название вулкана в Исландии или имя любимого кролика и, максимум, добавлять к такому паролю одну цифру, злоумышленники могут взломать такой пароль, используя заранее отобранные пароли, которые загружаются из специальных словарей. В такие словари обычно включаются слова из разных языков, которые могут использовать неопытные или безразличные к своей безопасности пользователи. Подбор пароля, используя данный метод, обычно не занимает много времени и злоумышленник сможет получить доступ к данным ваших пользователей буквально через несколько часов. А так как подобных словарей в просторах Интернета очень много, следует сразу объяснять пользователям, что им не следует использовать такие пароли, так как пострадать может не только их учетная запись в социальной сети, а и вся инфраструктура предприятия.

Еще одним методом, связанным с перебором по словарю, называется перебор по таблице хешированных паролей. Этот метод используется тогда, когда злоумышленник смог определить хеши паролей и ему остается лишь найти в базе данных пароль, который будет полностью соответствовать данному хешу.

Метод грубой силы

Метод грубой силы (brute force) или полный (прямой) перебор отличается от предыдущего метода тем, что при подборе пароля используется не определённый словарь, согласно которому можно подобрать простой пароль, а большое количество любых возможных комбинаций. В этом случае, как вы понимаете, все зависит лишь от сложности пароля и количества символов. Думаю, многие из вас видели следующую таблицу, исходя из которой, можно приблизительно оценить сложность создаваемых паролей, если учесть что в паролях будут только лишь буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду:

Количество знаков

Количество вариантов

Время перебора

1

36

менее секунды

2

1296

менее секунды

3

46 656

менее секунды

4

1 679 616

17 секунд

5

60 466 176

10 минут

6

2 176 782 336

6 часов

7

78 364 164 096

9 дней

8

2,821 109 9?1012

11 месяцев

9

1,015 599 5?1014

32 года

10

3,656 158 4?1015

1 162 года

11

1,316 217 0?1017

41 823 года

12

4,738 381 3?1018

1 505 615 лет

Соответственно, более-менее стойким паролем можно считать пароль, длина которого будет состоять не менее чем из восьми символов. Так как при написании этой статьи, основной задачей стояло рассмотрение методов создания стойких паролей, в ней не будут рассматриваться средства реализации перебора паролей методом грубой силы.

Использование человеческого фактора

Несмотря на то, что при использовании человеческого фактора не применяется какая либо технология, этот метод в большинстве случаев считается самым действенным и иногда даже самым быстрым, так как в этом случае злоумышленники получают пароли незаконным методом от самих пользователей, причем, последние об этом могут даже не подозревать. Прежде всего, при использовании этого метода получения пользовательских паролей злоумышленник обычно узнает имена сотрудников организации, которые он может, как знать изначально, так и найти на том же, скажем, веб-сайте компании, а уже после этого, согласно продуманному заранее сценарию злоумышленник может получить от пользователей практически любые данные. Методов получения пользовательских паролей, используя человеческий фактор, очень много. Вкратце рассмотрим основные способы:

· Фишинг. Является довольно распространенным методом получения от пользователей необходимой информации. Сам термин фишинг (phishing) происходит от английского слова fishing, что переводится как рыбная ловля и представляет собой вид мошенничества, основной задачей которого является получение доступа к конфиденциальным данным пользователей. Сама атака происходит следующим образом: пользователю на почтовый ящик приходит письмо, скажем, от банка, где пользователю предлагают, перейдя по предоставленной ссылке, в целях обеспечения безопасности сменить на сайте свой пароль. На самом деле, такая ссылка ведет на сайт хакера со страницей, которая очень похожа на страницу банка и при попытке смены своего пароля, пароль будет отправлен злоумышленнику;

· Заражение компьютеров средствами троянских коней. Как вы знаете, троянским конем называется вредоносная программа, которая распространяется злоумышленниками, при помощи которой он может получить доступ данным, в зависимости от того, какую он поставил перед собой задачу. В свою очередь, пользовательские пароли не являются исключениями;

· Кви про кво. Данный метод пошел от латинского выражения qui pro quo (одно вместо другого), что также обозначает недоразумение, возникшее в результате того, что одно лицо, вещь или понятие принято за другое. В случае с хищением паролей, этот способ подразумевает звонок злоумышленников в компанию. Злоумышленник может представиться техническим специалистом и узнать о уязвимостях, которые могут быть в организации и воспользоваться ими. Или же просто узнать пользовательский пароль по телефону ;

· Претекстинг. Этот способ самый простой. По большому счету, используя данный метод хищения пароля, злоумышленник, может быть даже, в какой-то степени, далек от хикинга, так как в данном случае, выполняются действия, отработанные по заранее составленному претексту или, проще говоря, сценарию. Он может начать общаться с пользователем на каком-то веб-сайте, средствами переписки по электронной почте, UIM-мессенджерам и т. д. По вполне понятным причинам, данный метод может занять значительно больше времени, чем все указанные раньше, но, тем не менее, он тоже востребован.

Простейший метод хищения пароля изображен на следующей иллюстрации:

Создание сложных паролей

Скорее всего, вы все видели следующую картинку.

Здесь довольно-таки в простой и шуточной форме нарисовано, какие пароли можно создавать и как с такими паролями будут взаимодействовать ваши пользователи. Если честно, то с методом, который указан на картинке можно не согласиться, так как второй пароль может быть быстрее взломан, чем первый, хоть на это и уйдет у злоумышленника какое-то время.

Прежде всего, как я уже говорил в начале статьи, в любом случае вам нужно настраивать ограничения по созданию сложных паролей при помощи групповой политики, причем, привязывать такие политики следует не для какого-то конкретного подразделения, а для всего домена. Разумеется, настроив политики безопасности, вы предотвратите создание паролей типа «123456» или «qwerty», которые так любят указывать пользователи, пользовательские пароли могут быть все равно уязвимыми для хакеров.

Например, если у вас в отделе продаж есть пользователь Владимир, который родился 9-го числа какого-то месяца, его паролем вполне может быть что-то вроде «Vladimir9». Как видите, длина такого пароля девять символов, что, скорее всего, будет превышать предустановленную средствами групповой политики длину пароля. Помимо этого, в данном пароле есть буквы из разного регистра (ну негоже ведь, свое имя указывать с маленькой буквы ) и в данном пароле есть цифры (в указанном случае, день рождения пользователя). Соответственно, пароль будет удовлетворять требованиям, указанным при помощи групповой политики, но взломать его можно буквально в считанные секунды.

Вам нужно постараться убедить своих пользователей создавать для любых своих учетных записей сложные пароли, создавать разные пароли для каждой учетной записи, а также хранить свои пароли у себя в памяти. Последние два момента являются наиболее сложными, так как большинство пользователей привыкло иметь один пароль для своей учетной записи в Active Directory, а также, хорошо, если так, иметь один пароль на почтовые ящики, социальные сети, трекреы, форумы и так далее. Если вы все таки заставили своих пользователей создать сложный пароль, обратите внимание на то, что многие любят записывать его на бумажке и клеить к своему монитору, на клавиатуру и т.п., что является недопустимым, так как это уже паролем назвать сложно.

Как создать сам пароль

Желательно, чтобы пользовательский пароль был не менее чем из 8 символов, причем, чтобы в пароле в произвольном порядке были написаны буквы латиницей в разных регистрах, пароль содержал цифры и, чтобы там еще были специальные символы. Если пароль создается для учетной записи, которая будет выполнять вход на сервер, то желательно создавать пароли, длина которых будет превышать 12 символов. В большинстве случаев, пользователи редко заморачиваются придумыванием таких паролей. Поэтому, вам нужно будет или вместо них придумывать пароли, что крайне неудобно, т.к. если у вас 20 пользователей, это займет какое-то время, но вы с этим справитесь, но если у вас более 100 пользователей, то на такое бессмысленное занятие уйдет целый день. А их ведь еще нужно периодически менять, т.к. ни один пароль не может быть совершенным.

Поэтому вы можете или направлять пользователей на сайты с генераторами паролей, например, на сайт http://genpas.narod.ru или на сайты с подобным функционалом. Таких сайтов на самом деле очень много. Также вы можете на своем внутреннем веб-сервере написать страницу, которая будет предоставлять такой же функционал, что тоже вряд ли займет много времени, даже если у вас нет навыков в веб-программировании. А о наличии такой страницы на сайте вы можете уведомить пользователей, скажем, при помощи официальной рассылки. Соответственно, вашим пользователям не нужно будет тратить время на то, чтобы придумать сложный пароль, а останется лишь его запомнить.

Также вы можете рассказать своим пользователям о простых сценариях, позволяющих создать сложный, но легко запоминающийся пароль. Различных интересных сценариев можно придумать сотни. Рассмотрим несколько таких сценариев.

1. Возьмите два русских слова – глагол и имя существительное. Например, слова «готовить» и «подсвечник». Добавьте произвольное число, которое будет разделено на две части, например, год рождения любимого писателя, скажем, 1966, а также возьмите любой специальный символ, пусть будет, например, знак вопроса. Теперь запишите все, что нашли ранее в следующем порядке: первое слово с большой буквы, первые две цифры из года рождения, знак вопроса, второе слово с большой буквы и последние две цифры. Должно получиться что-то в этом роде: «Готовить19?Подсвечник66». теперь наберем полученный пароль на английской раскладке. В результате, у вашего пользователя будет следующий пароль: «Ujnjdbnm19?Gjlcdtxybr66». В таком пароле получилось 23 знака, причем, подобрать его методом перебора по словарю нереально, а используя метод грубой силы у злоумышленника уйдет, мягко говоря, не один месяц.

2. Возьмите любую скороговорку, например, «В недрах тундры выдры в гетрах тырят в ведра ядра кедров» и возьмите дату рождения двоюродной тети пользователя, скажем, 29 октября 1957. Теперь запишите каждую первую букву каждого слова на английском языке, причем, запишите каждую вторую букву в верхнем регистре и между некоторыми словами проставляйте по одной цифре, а в конце пароля поставьте знак восклицания. Должно получиться следующее: «vN2tV9vG10tV19vY57k!». Опять же, такой пароль подобрать будет очень сложно.

3. Возьмите любую строку самого любимого стихотворения, например, «Недаром помнит вся Россия про день Бородина!» и запишите по две буквы из каждого слова на английской раскладке, причем, для каждого нового слова укажите букву в верхнем регистре. В конце можете поставить день своего рождения. Например, в данном случае должно получиться следующее: «YtGjDcHjGhLt<j!24». получен еще один сложный пароль.

4. Возьмите сложное слово, которое вы помните, но чтобы это слово не часто использовалось в разговорной речи. Например, возьмем слово, которое стыдно не знать, а именно название вулкана, который извергался в Исландии в 2010 году, а именно: Эйяфьядлайёкюдль. В этом слове 16 букв, поэтому вставим после 8-й буквы год события, т.е. 2010 и напишем все слова, как и в предыдущих примерах на английской раскладке. Получим следующий сложный пароль: «”qzamzlk2010fq`r.lkm».

Разных интересных сценариев можно еще придумать очень много. Самое главное то, что такие пароли не сложно запомнить и они считаются сложными.

Проверить сложность созданного пароля можно многими способами. Например, у компании Microsoft есть средство проверки паролей, которое позволит вам узнать, насколько надежным получился сгенерированный вами пароль. Для этого перейдите на страницу средства проверки паролей и в соответствующем текстовом поле введите свой пароль. Вы сразу получите уведомление, в котором будет указан тип сложности вашего пароля. Пример этого средства показан на следующей иллюстрации:

Заключение

В этой статье было рассказано о методах взлома пользовательских паролей, а также о том, как можно создать сложный для взлома пароль, но который будет довольно простым для запоминания. Я надеюсь, что при помощи указанных в этой статье четырех простых примеров у вас получится научить своих пользователей следить за сохранностью своих данных и создавать сложные пароли. А какие сценарии для генерирования сложных паролей применяете Вы?

Генератор паролей Пассвордист

Онлайн генератор паролейсоздание надежных паролей повышенной стойкости к системам автоматического взлома путем прямого перебора всех символов (bruteforce) или перебора по словарю.

Зачем нужны безопасные пароли?

Рекомендуется использовать безопасные пароли в программах, где не требуется помнить свой пароль и вводить его каждый раз для доступа к данным, например, в электронной почте или Skype.

Как взламывают пароли?

Для взлома используют специальные программы, которые подбирают пароль. Самым простым методом подбора является перебор всех символов.
Также используется метод подбора по словарю. (В рунете можно найти бесплатные словари русского языка на 100 с лишним тысяч русских слов. )

  • Очень часто в качестве пароля используют даты ( 100 ближайших лет * 365 дней —получаем 36500 возможных вариантов для подобного пароля). Они поддаются взлому за несколько секунд или минут.
  • Также распространено использовать секретное слово. Боюсь многих разочаровать, но секретное слово —обычное слово, которое можно найти в словаре русского (английского или другого) языка, подбирается так же быстро, как и дата… Дело в том, что в языке не так много слов. Лексикон современного человека составляет около 20 000 слов, программы перебора по словарю знают десятки тысяч слов. Такой пароль может быть угадан за несколько минут.
  • Чуть сложнее ситуация если вы используете слово не в начальной форме, изменяете падеж, число или род. Тогда количество вариантов увеличивается до 10 000 000. На подбор по словарю словоформ уйдет уже от нескольких часов до несколько дней.
  • Если использовать в качестве пароля номер сотового телефона, то вариантов будет не более 100 000 000. На взлом такого пароля может потребоваться несколько дней. Или несколько минут, если взять ваш телефон и переписать номера из записной книжки, ведь, наверняка, среди них есть и тот, что служит вам паролем.

Безопасный пароль

Безопасный пароль —пароль, который не поддается взлому методам перебора. Для этого пароль НЕ должен представлять собой слово, по сути это должна быть абракадабра (хорошо, если она содержит цифры, и уж совсем хорошо, если кроме цифр используются символы) и длина пароляне менее 8 символов, а лучше более 12 символов.

Создать пароль

По умолчанию, здесь создются пароли состоящие из 12 случайных символов.
На сегодня это достаточный минимум, чтобы обеспечить надежность пароля. В нашем случае для генерации используется 86 символов (со включением русских букв 152). Создается пароль длиной 12 символов. Такой пароль не может быть подобран по словарю, ну а на перебор всех вариантов придется проверить до (8612) 100 000 000 000 000 000 000 000 сочетаний. Даже для современного суперкомпьютера на решение этой задачи потребуется несколько тысяч лет.

Как придумать сложный пароль, который легко запомнить?

>r»-BGS_zhv_MwvgA2[Q(A — отличный сложный пароль. «Вскрывать» такой пароль крайне проблематично. Это реально, но займет настолько много времени, что мало кто захочет это делать. Создать такой пароль можно достаточно просто — достаточно воспользоваться любым, даже онлайн, генератором паролей. Сложный для запоминания? Можно записать его на бумажке. Но сможете ли вы воспроизвести его без этой самой бумажки? А уверены вы, что бумажка с паролем не потеряется или не попадет в руки злоумышленника? В этой статье я расскажу, как придумать сложный для взлома пароль, который можно легко запомнить.

Почему нужно использовать сложные пароли?

Технологии вскрытия паролей на месте не стоят. Сейчас опытному злоумышленнику на вскрытие пароля из восьми или даже десяти символов требуется совсем немного времени. Чтобы уметь защищаться от вскрытия, придется изучить немного сухой теории. Взлом осуществляется одним из двух принципиальных способов.

Подбор пароля перебором

В этом случае пароль подбирается, проверяются все возможные комбинации. Рано или поздно одна из них по законам комбинаторики неизбежно совпадет с вашей. Для надежной защиты пароля от вскрытия таким способом нужно, чтобы его длина была минимум 22 символа. Тогда подбор будет нерентабелен.

Подбор пароля по словарю

Пароль изначально придумал человек, который предполагал, что сможет его вспомнить. Берется обычный словарь, дополненный некими частыми комбинациями цифр, вроде дат или просто красивых комбинаций символов и цифр (qwe или 123). Теперь собираем из них разные комбинации и проверяем. Именно по такому способу пароли типа «qwe123» вскрываются за доли секунды.

Исходя из этого, нужно сделать пароль, в котором в явном виде целых слов не будет. Также попытаемся избежать неких «красивых» штучек вроде 123456.

Основные правила создания паролей

Итак, цели ясны, задачи определены. Начинаем формулировать практические советы по созданию паролей.

Используйте замены символов цифрами

Пароль «ireadmyfreesofteveryday» простой, как палка, вскрывается легко. Но попробуйте подобрать его, если мы заменим букву «o» на ноль, «y» на четверку? Злоумышленнику уже станет сложнее.

Используйте большие и маленькие буквы

Пароль должен содержать как большие, так и маленькие символы. Так число комбинаций, которые потребуется перебрать желающему украсть ваш аккаунт в «танках», будет много больше. «ireadmyfreesofteveryday» с учетом прежнего тезиса превращается в «iREADm4FREEs0ftever4da4». И сложный, и вместе с тем запомнить его по-прежнему можно.

Используйте первые буквы фразы, которую сможете вспомнить

Пароль, который мы получили на предыдущем этапе, все-таки выглядит сложным для его ввода в поле при авторизации. Один раз еще куда не шло, но чтобы каждый день не по разу — пальцы сломаешь. Сокращаем его до первых букв фразы «iRmFsed». Подбор по словарю нервно курит в коридоре — такого слова нет ни в одном справочнике. Вы скажете, что пароль не отвечает требованиям длины? Нет проблем! Есть способ увеличить длину, не теряя сложности. Просто добавьте комбинацию знакомых вам символов. Подойдет даже «/////». Просто поставьте ее в начале и в конце пароля: «123/////iRmFsed/////123».

Используйте адресацию к конкретному аккаунту в пароле

Использовать один и тот же пароль во всех аккаунтах крайне опасно. Взломав его, злоумышленник получит доступ ко всему на свете. Откройте новости по запросу «украдены пароли» и увидите, что события эти происходят с завидной регулярностью. И замечены в «потере» паролей пользователей очень серьезные интернет-компании.

Итак, имея один пароль для всех аккаунтов, вы увеличиваете шанс вскрыть все ваши аккаунты после того, как «засветится» пароль с одного из них. Но придумать разные пароли для разных аккаунтов не так и сложно. Просто добавьте комбинацию Fb для пароля в FaceBook, а для Yandex — Ya. Получаем «123/////iRmFsedFb/////123».

Заключение

Вы уже научились ставить на каждый новый компьютер антивирус. Сделайте же над собой усилие и используйте сложные, но легко запоминающиеся пароли для своих аккаунтов!

При написании этой статьи использовались рекомендации по созданию паролей от Microsoft, Google и Mozilla.

Генератор паролей | LastPass

Пароли представляют собой реальную угрозу безопасности. Согласно недавнему отчету, более 80% нарушений, связанных со взломом, происходят из-за слабых или украденных паролей. Поэтому, если вы хотите защитить свою личную информацию и активы, создание безопасных паролей — это первый важный шаг. И именно здесь может помочь Генератор паролей LastPass. Пароли, которые невозможно взломать, состоят из нескольких типов символов (цифр, букв и символов). Создание разных паролей для каждого веб-сайта или приложения также помогает защититься от взлома.Этот инструмент для генерации паролей работает локально на вашем компьютере с Windows, Mac или Linux, а также на вашем устройстве iOS или Android. Сгенерированные вами пароли никогда не отправляются через Интернет.

Лучшие советы профессионалов по паролям

  1. Всегда используйте уникальный пароль для каждой создаваемой учетной записи. Опасность повторного использования паролей заключается в том, что как только на одном сайте возникает проблема с безопасностью, хакерам очень легко попробовать использовать ту же комбинацию имени пользователя и пароля на других сайтах.
  2. Не используйте в паролях какую-либо личную информацию.Имена, дни рождения и почтовые адреса можно легко запомнить, но их также легко найти в Интернете, и их всегда следует избегать в паролях, чтобы обеспечить максимальную надежность.
  3. Убедитесь, что ваши пароли содержат не менее 12 символов и содержат буквы, цифры и специальные символы. Некоторые люди предпочитают генерировать пароли длиной от 14 до 20 символов.
  4. Если вы создаете мастер-пароль, который вам необходимо запомнить, попробуйте использовать фразы или слова из любимого фильма или песни. Просто добавляйте случайные символы, но не заменяйте их простыми шаблонами.
  5. Используйте менеджер паролей, например LastPass, для сохранения паролей. Мы защищаем вашу информацию от атак или слежки.
  6. Избегайте слабых, часто используемых паролей, таких как asd123, password1 или Temp !. Вот некоторые примеры надежного пароля: S & 2x4S12nLS1 *, JANa @ sx3l2 & s $, 49915w5 $ oYmH.
  7. Избегайте использования личной информации для ваших контрольных вопросов, вместо этого используйте LastPass, чтобы сгенерировать еще один «пароль» и сохранить его в качестве ответа на эти вопросы.Причина? Часть этой информации, например название улицы, на которой вы выросли, или девичья фамилия вашей матери, легко обнаруживаются хакерами и могут быть использованы для получения доступа к вашим аккаунтам с помощью грубой силы.
  8. Избегайте использования похожих паролей, которые изменяют только одно слово или символ. Такая практика снижает безопасность вашей учетной записи на нескольких сайтах.
  9. Изменяйте пароли, когда у вас есть причина, например, после того, как вы поделились ими с кем-то, после взлома веб-сайта или если с момента последней ротации прошло больше года.
  10. Никогда не сообщайте свои пароли по электронной почте или текстовым сообщениям. Безопасный способ обмена — это такой инструмент, как LastPass, который дает вам возможность поделиться скрытым паролем и даже отозвать доступ, когда придет время.

Зачем нужен встроенный генератор паролей

Упростите свою цифровую жизнь с помощью надежного генератора паролей, встроенного в ваш браузер или в приложение на телефоне. LastPass может создавать безопасные пароли прямо при регистрации, а затем запоминать их все за вас.Посмотрите, как работает LastPass.

Перенести существующие данные 1Password в учетную запись 1Password

Войти и перенести данные

Если вы используете 1Password 6, загрузите 1Password 7 и установите его. Если вы видите «Подписаться сегодня», закройте окно. Вы уже оформили членство в 1Password на 1Password.com.

  1. Войдите в свою учетную запись на 1Password.com, и 1Password спросит, хотите ли вы добавить новую учетную запись в приложение.Щелкните Добавить учетную запись.

    Если 1Password не предлагает вам добавить новую учетную запись в приложение, вы можете добавить ее вручную.

  2. Щелкните Копировать элементы, и все ваши существующие данные, такие как пароли и секретные заметки, будут скопированы в вашу новую учетную запись.

  3. Щелкните Удалить хранилище. Теперь, когда все было безопасно скопировано в вашу новую учетную запись, вам следует удалить старое хранилище, чтобы у вас не осталось дубликатов всего.

Если 1Password не просит вас перенести данные

Если 1Password не просит вас перенести данные:

  1. Выберите меню «Хранилище»> «Перейти в хранилище» и выберите хранилище в своей новой учетной записи.
  2. Выберите «Справка»> «Инструменты»> «Перенести автономные хранилища в учетную запись».

Вы также можете переместить элементы вручную, а затем удалить свое старое основное хранилище. Чтобы удалить основное хранилище, выберите меню «Хранилище»> «Перейти в хранилище»> «Основное хранилище». Затем выберите меню «Хранилище»> «Удалить хранилище».

Войти и перенести данные

  1. Откройте и разблокируйте 1Password.
  2. Нажмите «Настройки», затем нажмите «Учетные записи 1Password».
  3. Нажмите «Добавить существующую учетную запись».
  4. Нажмите «Сканировать код настройки».
  5. Следуйте инструкциям на экране, чтобы найти и отсканировать код настройки. Нужна помощь?
  6. Введите свой мастер-пароль и нажмите «Войти».
  7. Нажмите «Переместить элементы», чтобы переместить данные 1Password в новую учетную запись.

Для перемещения данных вручную

Если у вас несколько хранилищ или элементы уже добавлены в новую учетную запись, 1Password не попросит перенести ваши данные. Узнайте, как перемещать предметы вручную.

Чтобы удалить старое основное хранилище, нажмите «Настройки»> «Хранилища»> «Основное хранилище».Затем нажмите «Удалить хранилище».

Шаг 1. Войдите и перенесите свои данные

Если вы обновляетесь с 1Password 4, загрузите 1Password 7 и установите его. На экране приветствия выберите метод синхронизации, затем выберите хранилище для импорта. Если вы видите «Подписаться сегодня», закройте окно. Вы уже оформили членство в 1Password на 1Password.com.

  1. Войдите в свою учетную запись на 1Password.com.
  2. Щелкните имя своей учетной записи в правом верхнем углу и выберите «Получить приложения».
  3. Щелкните «Добавить учетную запись напрямую». Откроется приложение 1Password, и большая часть данных вашей учетной записи будет заполнена автоматически.
  4. Введите свой мастер-пароль и нажмите «Войти».
  5. Нажмите «Перенести элементы», затем «ОК» для подтверждения, и все ваши существующие данные, такие как пароли и защищенные заметки, будут скопированы в вашу новую учетную запись.

Шаг 2: Импортируйте любые дополнительные хранилища

Если у вас есть дополнительные хранилища для импорта:

  1. Выберите 1Password> Импорт и щелкните «Agile Keychain or OPVault folder».
  2. Щелкните «Выбрать папку» и откройте хранилище.
  3. Введите пароль хранилища.
  4. Выберите в своей учетной записи 1Password хранилище, в которое вы хотите импортировать данные, и нажмите «Импорт». Вы можете создавать новые хранилища на 1Password.com.

Чтобы предотвратить дублирование данных, удалите автономные хранилища после их импорта:

  1. Щелкните «Все хранилища» в верхней части боковой панели или выберите «Просмотр»> «Показать / скрыть хранилища» (Ctrl + D). Если вы выбрали другое хранилище, вы увидите его имя вместо Все хранилища.
  2. Нажмите рядом с автономным хранилищем, которое вы хотите удалить, и выберите «Удалить хранилище».

Если вы переходите с 1Password 4

Чтобы предотвратить конфликты с 1Password 4, удалите его с вашего ПК после обновления до 1Password 7, затем перезапустите 1Password 7:

  1. Перейдите в Панель управления> «Удалить программу».
  2. Выберите 1Password 4, выберите «Удалить» и следуйте инструкциям на экране.

Получите помощь, если 1Password не сохраняет и не заполняет пароли на каких-либо веб-сайтах.

Войти и перенести данные

Шаг 1. Добавьте свой аккаунт
  1. Откройте и разблокируйте 1Password.
  2. Нажмите «Настройки»> «Учетные записи 1Password».
  3. Нажмите «Войдите в свою учетную запись 1Password», затем нажмите «Сканировать код настройки».
  4. Следуйте инструкциям на экране, чтобы найти и отсканировать код настройки. Нужна помощь?
  5. Введите свой мастер-пароль для входа.
Шаг 2. Импортируйте данные в новую учетную запись

Чтобы перенести существующие данные в учетную запись, скопируйте свои элементы:

  1. В любом списке элементов коснитесь > Выберите, а затем выберите элементы, которые хотите скопировать.Чтобы выбрать все элементы в списке, коснитесь > Выбрать все.
  2. Нажмите и выберите хранилище, в которое вы хотите скопировать элемент (ы).
    Если вы не видите, сначала нажмите .
Шаг 3. Удалите старое основное хранилище

После копирования данных в новый аккаунт у вас останется старое основное хранилище. Чтобы удалить основное хранилище, выберите «Настройки»> «Дополнительно», затем нажмите «Удалить основное хранилище».

паролей: стратегии создания и запоминания эффективных паролей

Длинный и прочный | Двухфакторный | Вспоминая | Генерация | LastPass |

Часто выбирается неверный пароль

Все чаще мы живем в Интернете: банковские операции, покупки, пожертвования, подача налоговых деклараций, переписка, размещение сообщений в Facebook и т. Д.

По данным Mozilla, средний человек имеет 130 онлайн-аккаунтов .

Большинство пользователей используют ваш адрес электронной почты для вашей идентификации. Уникален только пароль .

Пароль Ваша электронная подпись

Пароли служат вашей электронной подписью .

Поскольку вы не можете подписывать онлайн-документы, как обычные документы, они должны быть «подписаны» электронным способом. Это стало еще более критичным с COVID.

Люди не справляются с гигиеной паролей

К сожалению, большинство людей рассматривают пароли как нечто , навязанное им .

  • 44% респондентов используют одинаковые или похожие пароли, хотя знают, что это может увеличить риски их личной безопасности.
  • 53% респондентов не меняли свой пароль за последние 12 месяцев, даже узнав о взломе в новостях.
  • 41% респондентов считают, что их учетные записи недостаточно ценны, чтобы стоить времени хакеров.
  • — LastPass
NordPass и партнеры обнаружили, что наиболее распространенные пароли невероятно легко угадать — и злоумышленникам может потребоваться меньше секунды или двух, чтобы взломать учетные записи с использованием этих учетных данных. Только 44% из записанных были признаны «уникальными». — ZDNet

Не используйте пароли повторно

Без помощи программного обеспечения для управления паролями люди склонны повторно использовать пароли или генерировать пароли, используя тот же маршрут с дополнительным номером или другим модификатором.Это не с точки зрения безопасности.

Пароли чрезвычайно ценны, будь то для электронной почты, сайтов электронной коммерции или даже «просто» платформы социальных сетей. Преступники ищут ваши пароли Spotify не потому, что хотят узнать, кто ваши любимые исполнители. Они рассчитывают на высокую вероятность того, что один и тот же пароль разблокирует вашу электронную почту, розничный веб-сайт или даже вашу рабочую сеть. — Блог по безопасности ZoneAlarm
Есть последствия

Налоговое управление Канады было вынуждено приостановить онлайн-сервисы, чтобы защитить пользователей, которые не позаботились защитить себя:

В общей сложности 5 500 учетных записей CRA были нацелены на то, что федеральное правительство охарактеризовало как две схемы «набивки учетных данных», в которых хакеры используют пароли и имена пользователей с других веб-сайтов для доступа к счетам канадцев в налоговом агентстве. Times Colonist

Служба защиты паролей

Думайте о паролях как об электронной «доверенности».

Любой, у кого есть ваш пароль, может совершить покупку, изменить вашу учетную запись (или отменить ее) и публиковать вредоносную информацию о вас (или вашей компании) — даже публиковать клеветнические комментарии о других, используя ваш электронный идентификатор.

Защитите свои пароли

Как и пустой подписанный чек, пароли нужно тщательно защищать.

Взломанные аккаунты уязвимы в любой точке мира .

Конфиденциальность — это не только секреты

Многие думают, что на их компьютерах мало что нужно защищать.

Мой компьютер не содержит секретных документов. Зачем мне беспокоиться о надежных паролях?

Что бы вы почувствовали, если бы кто-то разместил ВСЕ ваших документов в публичном месте ?

Заблокируйте телефон
Вы можете подумать, что информация на вашем телефоне не так важна, но вы удивитесь.

Даже если вы не используете, скажем, банковские приложения, на вашем телефоне есть ваша электронная почта, и если вор получит доступ к вашей электронной почте, он получит доступ практически к любой вашей учетной записи.

А портативное устройство легко потерять, что дает непробиваемым людям полную свободу действий над вашей информацией. Замок. Твой. Телефон.
Проводной
Пароли защитят вашу конфиденциальность

Правильная практика паролей защищает вашу конфиденциальность, а также ваши документы, особенно в сочетании с шифрованием.

Подобно пресловутой двери сарая, потерянное уединение не может быть легко восстановлено.

Требуется менеджер паролей

Для управления паролями требуется менеджер паролей. У нас просто слишком много паролей.

Никто не может вспомнить все свои пароли

Людям слишком сложно создавать и запоминать надежные и уникальные пароли.

Рискованный обмен паролями

Удивительное количество людей делятся паролями, не меняя их впоследствии.


Инфографика опроса LastPass Sharing.

Когда вы делитесь паролем, особенно если это делается небезопасно, вы создаете уязвимость, которая может стоить вам конфиденциальности при опустошении вашего кошелька.

LastPass рекомендует

Я настоятельно рекомендую LastPass. У всех менеджеров паролей браузеров есть недостатки.

LastPass позволяет использовать сложные и уникальные пароли без необходимости их запоминать. Также может

  • генерировать безопасные пароли;
  • храните пароли в безопасности; и
  • обеспечивает безопасное семейное совместное использование.

Кража личных данных при увеличении

Кража личных данных, к сожалению, является быстрорастущим преступлением.

Преступники ищут ваши пароли Spotify не потому, что хотят узнать, кто ваши любимые исполнители. Они рассчитывают на высокую вероятность того, что один и тот же пароль разблокирует вашу электронную почту, розничный веб-сайт или даже вашу рабочую сеть. — Блог по безопасности ZoneAlarm
Хакеры могут злоупотреблять вашим компьютером и онлайн-аккаунтами

Хакеры и ботнеты могут использовать ваш компьютер и пароли для атак на другие компьютеры, а совершат преступления, за которые вы можете быть ответственны .

Вы должны взять на себя ответственность

Люди не понимают последствий потери конфиденциальности и не осознают своей ответственности по защите своей личности.

Если вы станете жертвой кражи личных данных, вы будете бороться с этим еще долгие годы (некоторые говорят, что бесконечно, как в игре «Ударь крота»). Защита паролей — важный ключ к защите вашей личности в Интернете.

Узнайте о краже личных данных и его последствиях.

Вернуться к началу

Делайте пароли длинными и надежными

Убедитесь, что ваши пароли трудно угадать, и убедитесь, что ваши пароли нелегко обнаружить .

Реальность такова, что большинство (91%) признают, что использование одинаковых или похожих паролей для нескольких логинов представляет собой угрозу безопасности, но 58% все равно это делают. Эти люди в основном или всегда используют один и тот же пароль или вариант одного и того же пароля. Это похоже на то, что вы делаете? Если так, избавься от этой вредной привычки сейчас же! — Блог LastPass

При генерации паролей делайте их длинными и надежными — уникальный пароль для каждого сайта или приложения.

Ошибка системы единого входа

Использование параметров единого входа (например, вход с помощью учетной записи Facebook или Google) может быть удобным, но создает единую точку отказа.

Но, при всем удобстве, у потребительской SSO есть и недостатки. Это создает единую точку отказа, если что-то пойдет не так. Если ваш пароль или токен доступа будет украден из учетной записи, которую вы используете для SSO, все другие сайты, с которых вы использовали его для входа, могут быть раскрыты. И вы не только должны доверять компаниям, предлагающим SSO для защиты вашей конфиденциальности и безопасности, вы также должны доверять всем сторонним веб-сайтам, предлагающим эти варианты, для их правильной реализации. Проводной
Рекомендуется регулярная смена пароля

Рекомендуется регулярно менять пароли без повторного использования паролей. Совет здравый, за исключением того, что пользователи склонны повторять шаблоны или использовать слегка измененные версии своих предыдущих паролей.

Обычно у пользователей есть десятки (или сотни) паролей, что делает запоминание паролей практически невозможным, если вы не используете менеджер паролей.

LastPass рекомендует

LastPass не только запомнит ваши пароли, но и будет напоминать вам о необходимости их регулярно менять (даже создавать для вас новые).Все, что вам нужно запомнить, — это один длинный и надежный пароль.

Сделайте их длинными

Пароли должны быть как минимум длиной 10–12 символов (я бы рекомендовал 15–20), если сайт это позволяет. Многие из моих намного длиннее.

8-символьные пароли БЕЗОПАСНОСТЬ

Technology теперь сделала пароли из 8 символов (включая сложные пароли с буквами, цифрами и символами) небезопасными . Способность взлома паролей хакеров и других людей улучшается с каждым годом.

В наши дни, учитывая состояние облачных вычислений и взлома паролей GPU, любой пароль из 8 или менее символов опасно близок к отсутствию пароля вообще. — Джефф Этвуд
Более двух третей пользователей создают простые пароли, которые можно быстро взломать — во многих случаях менее чем за секунду. — Ipswitch

Сделай их сильными

За 20 лет усилий мы успешно научили всех использовать пароли, которые сложно запомнить людям, но легко угадать компьютерам.- xkcd.com
Надежные пароли, состоящие как минимум из семи символов и комбинации прописных и строчных букв, символов и цифр, играют жизненно важную роль в предотвращении взлома. Еще лучше — парольные фразы, содержащие от восьми до 10 слов, которые не публикуются (например, известные цитаты). — Отчет Trustwave о глобальной безопасности за 2014 год

Грубая сила Атаки

Атаки методом грубой силы относятся к процессу проверки одного потенциального пароля за другим, пока пароль не будет обнаружен.

Когда хакер проникает в компанию, он обычно ищет и загружает всю базу паролей. Короче говоря, не все алгоритмы шифрования созданы одинаково, и, что еще хуже, многие компании не защищают свои пароли должным образом. Некоторые методы хеширования старые и слабые, и поэтому могут быть взломаны хакерами. Однако чаще хакеры берут украденные хэши и начинают извлекать пароли несколькими способами. — Улей Системы

Как хакеры крадут и используют ваши пароли обсуждает, как хакеры извлекают пароли из украденных хэшей паролей.

Хакер «Словари»

Поскольку некоторые комбинации более вероятны, хакер создаст «словарь» потенциальных паролей. Этот словарь содержит иностранные слова, места и шаблоны символов, которые образуют широко используемые во всем мире пароли.

Нарушения данных раскрыли не только личную информацию, но и сделали возможным взлом паролей в будущем.

Пароли НЕ должны содержать легко обнаруживаемые слова, такие как имена членов вашей семьи, ваших домашних животных, подруг, любимых спортивных команд и т. Д.Вы, наверное, разместили эту информацию в Facebook.

Визуализация
Используя метод грубой силы, [компьютерный кластер с 25 видеокартами AMD Radeon] способен угадать каждый восьмизначный пароль , содержащий буквы, цифры и символы , за 5,5 часов . Если компании используют LM, более ранний вариант пароля для Windows Server, кластер может определить пароль за шесть минут . — CNET (2012)

Эта диаграмма представляет собой визуализацию уязвимости пароля к атакам методом перебора, созданного Hive Systems с использованием данных, созданных на HowSecureismyPassword.сеть:

Более длинные пароли менее уязвимы для атак методом перебора. Однако он предполагает использование случайных символов, и существует множество других факторов, которые могут значительно сократить указанные сроки:

  • Хакерские «словари» быстрее, чем атаки методом перебора.
  • Если ваш пароль был взломан где-то еще (даже если ваша учетная запись не была взломана), он будет более уязвим.
  • Ограничение паролей только буквами и цифрами или 8 символами может значительно их ослабить.
  • Такие шаблоны, как начало с заглавной буквы и завершение цифрами или символами, повышают предсказуемость.
Сделайте их случайными

Вы должны предпочтительно использовать сложных случайных символов , если сайт поддерживает это. Используйте случайную комбинацию букв и цифр , перемежающуюся с

учетными записями и паролями для контроллера, облачного ключа и других устройств — Центр поддержки и поддержки Ubiquiti

В этой статье описываются различные наборы учетных данных, которые использует UniFi, а также информация о том, где каждый из них был бы изначально настроен и где их можно изменить, если применимо.Важно отметить, что и пароли, и имена пользователей чувствительны к регистру. Если у вас возникли вопросы по 2FA, прочтите эту статью: Как включить / отключить двухфакторную аутентификацию (2FA).

Содержание

  1. Пароль аутентификации устройства UniFi
  2. Пароль сетевого контроллера UniFi
  3. Облачный ключ SSH
  4. Модели машин UniFi Dream
  5. Учетные данные SSO Ubiquiti: сообщество пользовательского интерфейса, магазин пользовательского интерфейса и служба удаленного управления UniFi
  6. Другие полномочия
  7. Статьи по теме

Вернуться к началу

Учетные данные для аутентификации устройства используются в пользовательских интерфейсах (UI) управления устройством .Например, при локальном доступе к UniFi Security Gateway (USG), набрав 192.168.1.1 в браузере, или при доступе к UAP через SSH для обновления его прошивки. Они также используются при переходе на «управляемое другим» устройство. См. Эту статью для получения дополнительной информации: UniFi — расширенное внедрение устройства, «управляемого другим».

Чтобы узнать, что это за пароль в сети UniFi, и изменить его, выполните следующие действия. См. Соответствующие статьи ниже, чтобы узнать, как это делается в UniFi Protect и UniFi Video.

Для сетевого контроллера UniFi, версия до 6.0.36:

1. На вашем контроллере перейдите в Настройки > Сайт и включите Расширенные функции . Сохраните изменения и обновите экран.

2. Теперь вы должны увидеть раздел Device Authentication в разделе Settings> Site . Обратите внимание, что если вы ранее включили аутентификацию SSH, а затем отключили дополнительные функции, этот раздел будет виден без необходимости включения дополнительных функций на шаге 1.

3. Установите флажок Включить аутентификацию SSH и установите имя пользователя и пароль. Или нажмите на глаз, чтобы увидеть ваше имя пользователя и пароль в настоящее время, если пароль уже создан.

Для сетевого контроллера UniFi, версия 6.0.41 и выше:

Найдите свои учетные данные, перейдя в Настройки > Настройки системы> Конфигурация контроллера> Авторизация устройства по SSH .

Если они никогда не устанавливались администратором, есть две возможные комбинации учетных данных по умолчанию для устройств UniFi: ubnt / ubnt или root / ubnt .Однако, если вы прошли через мастер настройки, вам потребовалось бы назначить новый пароль и имя пользователя на экране доступа к контроллеру в разделе «Проверка подлинности устройства». Учетные данные по умолчанию ubnt / ubnt или root / ubnt будут полезны при восстановлении заводских настроек устройства и управлении им в уже установленном контроллере (следовательно, при отказе от мастера установки).

ПРИМЕЧАНИЕ: Имя пользователя и пароль ubnt / ubnt по умолчанию также применяются к облачному ключу (и SSH-доступ к облачному ключу) при доступе к пользовательскому интерфейсу конфигурации нового или заводского значения облачного ключа путем ввода его IP-адреса в браузер (по умолчанию 192.168.1.30) вместо использования мастера установки. Кроме этого конкретного момента, облачный ключ и пароль SSH не совпадают с учетными данными для аутентификации устройства. Дополнительные сведения см. В разделе учетных данных SSH и Cloud Key.

Пароль сетевого контроллера UniFi

Вернуться к началу

Эти учетные данные позволяют вам войти в сетевой контроллер UniFi, получая доступ к нему напрямую, введя IP-адрес в браузере, или перейдя в службу удаленного управления UniFi и запустив контроллер оттуда.Вы создали эти учетные данные на экране доступа к контроллеру мастера установки. У вас также есть возможность использовать учетные данные вашей учетной записи SSO для контроллера. Дополнительные сведения см. В разделе «Учетные данные системы единого входа».

Как изменить имя и пароль администратора контроллера

Если у вас есть доступ к контроллеру, вы можете изменить имя и пароль администратора контроллера в любой момент.

1. В Контроллере щелкните свое имя пользователя в верхнем правом углу.

2. Выберите Изменить счет .

3. Здесь вы можете изменить пароль, имя администратора и адрес электронной почты администратора. Важно отметить, что при сбросе пароля это единственный адрес электронной почты, на который вы сможете отправить электронное письмо для «сброса пароля», независимо от того, какой адрес электронной почты вы используете в качестве SMTP-сервера.

Как работают пароли?

Если вы хотите совершить покупку, опубликовать комментарий на форуме или даже прочитать контент на многих веб-сайтах, вам будет предложено создать (и запомнить!) Пароль.

Что происходит, когда вы создаете пароль? И как этот процесс помогает сохранить вашу информацию в безопасности? Когда вы создаете пароль на веб-сайте, этот пароль не сохраняется на сервере веб-сайта дословно. Это потому, что ваш пароль будет доступен бесплатно, если безопасность сервера будет нарушена.

Вместо этого ваш пароль проходит через процесс, называемый «хешированием», который значительно повышает безопасность (при условии, что ваш пароль достаточно надежен).

Что такое хеширование и как оно работает?

Хеширование превращает ваш пароль (или любой другой фрагмент данных) в короткую строку букв и / или цифр с использованием алгоритма шифрования.

Если сайт взломан, хакеры не получат доступ к вашему паролю. Вместо этого они просто получают доступ к зашифрованному «хешу», созданному вашим паролем.

Распространенной хэш-функцией является md5 (), которая возвращает 32-символьную строку из любого ввода. Ниже приведены несколько примеров того, как выглядит хэш:

  1. md5 (helloworld) = fc5e038d38a57032085441e7fe7010b0
  2. md5 (hell0world) = 0a123b92f789055b946659e816834465
  3. md5 (g84js; l238fl-242ldfsosd98234) = 42e7862f4ad5225471866d2023fc4cca #
  4. md5 (helloworld) = fc5e038d38a57032085441e7fe7010b0

Из этих примеров мы можем узнать несколько вещей о хэшах:

Небольшие изменения имеют большое значение — Взгляните на примеры 1 и 2.Сдвинута всего одна цифра с «о» на «0». Это очень небольшое изменение, и все же второй результат неузнаваем по сравнению с первым.

Длина вывода никогда не меняется. — Входные данные в примере 3 значительно длиннее, чем в других примерах, но при этом выводятся такие же длины (32 символа). Вы можете ввести всю книгу в хеш-функцию md5 (), и на выходе вы все равно получите 32-символьную строку.

Repeatable — Вход всегда будет давать один и тот же результат при хешировании с использованием одной и той же функции.Если бы это было не так, они просто генерировали бы случайный вывод, который был бы бесполезен для паролей. (Я включил ту же функцию в пример 1, что и в примере 4, чтобы проверить, обратили ли вы внимание.)

Трудно отменить — Даже если хакер может определить функцию, используемую для создания хэша, отменить эту функцию и сгенерировать пароль практически невозможно. Фактически, это настолько сложно, что попытка использовать миллионы комбинаций, чтобы попытаться получить тот же конечный результат (атака грубой силой), обычно происходит быстрее, чем вычисления, необходимые для обращения вспять процесса хеширования.

Как используется хеширование паролей для предоставления доступа?

Давайте посмотрим, как хеширование работает на практике:

  • Шаг 1 — Пользователь заходит на сайт и заполняет форму, чтобы создать свое имя пользователя и пароль.
  • Шаг 2 — Этот пароль передается через хеш-функцию, и хэш сохраняется в базе данных.
  • Шаг 3 — Когда пользователь входит в систему, он снова вводит свой пароль на сайте.
  • Шаг 4 — Этот введенный пароль обрабатывается той же функцией хеширования, что и раньше.
  • Шаг 5 — Сервер сравнивает этот хэш с хешем, сохраненным для пользователя в базе данных.
  • Шаг 6 — Если два хэша точно совпадают, пользователю предоставляется доступ.

Достаточно ли хеширования для защиты паролей?

Зная, что длина хэшей одинакова независимо от выбранного вами пароля, у вас может возникнуть соблазн выбрать короткий, легко запоминающийся пароль. Фактически, вам следует сделать наоборот. Выбранный вами пароль имеет решающее значение для защиты ваших данных.

Как только хакер получает хэши паролей с веб-сайта, начинается реальный процесс взлома паролей. Этот процесс происходит в автономном режиме на компьютере хакера. Хакеры помещают комбинации символов в хеш-функцию до тех пор, пока не будет создан хеш, соответствующий вашему.

Поскольку сами функции хорошо известны, взломщики паролей могут легко вычислить хеши для известных слов и других часто выбираемых комбинаций. Затем они сопоставляют взломанные пароли с этими словарями.

Эти словари выходят далеко за рамки простых слов. Они включают префиксы, суффиксы, практику замены букв на числа (например, 1 вместо l) и многое другое. Это означает, что слабые пароли можно взломать очень быстро.

Вы можете увидеть, как легко можно взломать простые пароли, в блоге «Пять самых популярных инструментов для взлома паролей».

Для надежной защиты паролем необходимо:

  • Создайте длинный и, казалось бы, случайный пароль
  • Периодически меняйте этот пароль
  • Никогда не используйте этот пароль повторно на других сайтах

Проверьте надежность вашего пароля с помощью средства проверки надежности пароля Thycotic.

PAM и управление паролями

Люди пытаются создать надежные, запоминающиеся пароли. Когда мы этого не делаем, мы подвергаем риску наши финансовые и личные данные.

Для бизнеса риск еще больше. Даже если ваша сетевая безопасность высока, если люди используют одни и те же пароли для нескольких ваших внутренних систем, приложений и веб-сайтов, ваша сеть может быть взломана без взлома. Например, если личная электронная почта пользователя взломана, хакер может попробуйте использовать тот же пароль для своей рабочей учетной записи, возможно, получив доступ к конфиденциальным бизнес-данным.

Решения для управления привилегированным доступом (PAM) автоматически генерируют сложные пароли и регулярно меняют их. Таким образом, даже если хакер получит доступ к хешу, он не сможет легко провести атаку методом грубой силы. Решения PAM помогают гарантировать, что пароли являются уникальными и никогда не передаются, поэтому даже если хакеры получат один пароль, они с меньшей вероятностью воспользуются этим паролем для получения дополнительного доступа.

Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *