Как создать сложный пароль
Содержание
- Введение
- Методы взлома паролей
- Логическое угадывание
- Перебор паролей по словарю
- Метод грубой силы
- Использование человеческого фактора
- Создание сложных паролей
- Как создать сам пароль
- Заключение
Введение
Одной из самых существенных проблем, связанных с обеспечением безопасности в организации являются пароли к учетным записям важных пользователей. Даже если вы тщательно спланируете и настроите параметры безопасности групповой политики, включая настройки брандмауэра в режиме повышенной безопасности, развернете антивирусное программное обеспечение и будете поддерживать в обновленном состоянии систему и антивирусное ПО, настроите политики IPSec, развернете сервера защиты доступа к сети, а у учетных записей ваших пользователей будут недостаточно сложные пароли, безопасность всей вашей компании может быть под угрозой.
Разумеется, вы можете, и даже должны, при помощи групповой политики задать ограничение по созданию сложных паролей, установить интервал для блокировки учетной записи в случае неправильного ввода пароля, а также настроить политики аудита для анализа неудачных попыток входа в систему. Но даже пароли, которые операционная система будет считать сложными (то есть длина пароля будет превышать определенное количество символов, пароль будет содержать символы верхнего, нижнего регистра, а также цифры), могут на самом деле оказаться уязвимыми и простыми для злоумышленников, которые будут их взламывать. Именно этот этап обеспечения безопасности вашей компании может оказаться для вас наиболее сложным, так как здесь ваше участие играет лишь посредственную роль, а любое халатное отношение со стороны ваших пользователей может летально сказаться на инфраструктуре всей компании. Другими словами, в этом случае вам нужно постараться заставить ваших же пользователей создавать безопасные пароли, запоминать их, периодически эти пароли менять, а также держать эти пароли при себе, что, по сути, может оказаться намного сложнее, чем спланировать инфраструктуру организации, а также развернуть и поддерживать в рабочем состоянии сервера с соответствующими серверными ролями.
В этой статье я немного расскажу о том по каким причинам какие пароли нельзя создавать, а также как именно нужно создавать пароли для своих учетных записей. Рассмотрим все по прядку.
Методы взлома паролей
К одному из наиболее распространенных методов атаки на любую инфраструктуру можно отнести взлом паролей пользователей, которые проходят проверку подлинности для того чтобы можно было получить доступ к внутренней сети организации. Соответственно, если злоумышленник получит доступ к учетной записи пользователя, у него будет возможность достучаться до каких-либо внутренних документов компании и к прочей защищенной информации. Помимо учетных записей пользователей для доступа к внутренней сети организации, также часто злоумышленники стараются взламывать аккаунты электронной почты, социальных сетей, блогов и прочего. Поэтому пользователям следует объяснить, что нельзя для всех своих учетных записей использовать одинаковый пароль, а уж тем более простой пароль.
В принципе, существует много методов взлома паролей, но в этой статье будут вкратце рассмотрены лишь основные методы, которые наиболее распространены в наше время. К этим методам можно отнести логическое угадывание, перебор паролей по словарю, метод грубой силы (или полный перебор), а также самый серьезный метод – использование человеческого фактора.
Логическое угадывание
Этот метод является самым простым, и начинают обычно именно с логического угадывания пароля. Например, злоумышленник может попробовать угадать пароль ваших пользователей, зная имя, фамилию вашего пользователя и, скажем, его год рождения. Например, если пользователь создаст пароль типа «Фамилия + год рождения» или логин, указанный в обратном порядке, можно особо не волноваться, такой пароль будет взломан через несколько минут.
Перебор паролей по словарю
Так как многие пользователи в качестве паролей любят указывать к какой-либо своей учетной записи одно слово, будь то название вулкана в Исландии или имя любимого кролика и, максимум, добавлять к такому паролю одну цифру, злоумышленники могут взломать такой пароль, используя заранее отобранные пароли, которые загружаются из специальных словарей. В такие словари обычно включаются слова из разных языков, которые могут использовать неопытные или безразличные к своей безопасности пользователи. Подбор пароля, используя данный метод, обычно не занимает много времени и злоумышленник сможет получить доступ к данным ваших пользователей буквально через несколько часов. А так как подобных словарей в просторах Интернета очень много, следует сразу объяснять пользователям, что им не следует использовать такие пароли, так как пострадать может не только их учетная запись в социальной сети, а и вся инфраструктура предприятия.
Еще одним методом, связанным с перебором по словарю, называется перебор по таблице хешированных паролей. Этот метод используется тогда, когда злоумышленник смог определить хеши паролей и ему остается лишь найти в базе данных пароль, который будет полностью соответствовать данному хешу.
Метод грубой силы
Метод грубой силы (brute force) или полный (прямой) перебор отличается от предыдущего метода тем, что при подборе пароля используется не определённый словарь, согласно которому можно подобрать простой пароль, а большое количество любых возможных комбинаций.
В этом случае, как вы понимаете, все зависит лишь от сложности пароля и количества символов. Думаю, многие из вас видели следующую таблицу, исходя из которой, можно приблизительно оценить сложность создаваемых паролей, если учесть что в паролях будут только лишь буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду:
Количество знаков |
Количество вариантов |
Время перебора |
1 |
36 |
менее секунды |
2 |
1296 |
менее секунды |
3 |
46 656 |
менее секунды |
4 |
1 679 616 |
17 секунд |
5 |
60 466 176 |
10 минут |
6 |
2 176 782 336 |
6 часов |
7 |
78 364 164 096 |
9 дней |
8 |
2,821 109 9?1012 |
11 месяцев |
9 |
1,015 599 5?1014 |
32 года |
10 |
3,656 158 4?1015 |
1 162 года |
11 |
1,316 217 0?1017 |
41 823 года |
12 |
4,738 381 3?1018 |
1 505 615 лет |
Соответственно, более-менее стойким паролем можно считать пароль, длина которого будет состоять не менее чем из восьми символов.
Использование человеческого фактора
Несмотря на то, что при использовании человеческого фактора не применяется какая либо технология, этот метод в большинстве случаев считается самым действенным и иногда даже самым быстрым, так как в этом случае злоумышленники получают пароли незаконным методом от самих пользователей, причем, последние об этом могут даже не подозревать. Прежде всего, при использовании этого метода получения пользовательских паролей злоумышленник обычно узнает имена сотрудников организации, которые он может, как знать изначально, так и найти на том же, скажем, веб-сайте компании, а уже после этого, согласно продуманному заранее сценарию злоумышленник может получить от пользователей практически любые данные. Методов получения пользовательских паролей, используя человеческий фактор, очень много.
Вкратце рассмотрим основные способы:· Фишинг. Является довольно распространенным методом получения от пользователей необходимой информации. Сам термин фишинг (phishing) происходит от английского слова fishing, что переводится как рыбная ловля и представляет собой вид мошенничества, основной задачей которого является получение доступа к конфиденциальным данным пользователей. Сама атака происходит следующим образом: пользователю на почтовый ящик приходит письмо, скажем, от банка, где пользователю предлагают, перейдя по предоставленной ссылке, в целях обеспечения безопасности сменить на сайте свой пароль. На самом деле, такая ссылка ведет на сайт хакера со страницей, которая очень похожа на страницу банка и при попытке смены своего пароля, пароль будет отправлен злоумышленнику;
· Кви про кво. Данный метод пошел от латинского выражения qui pro quo (одно вместо другого), что также обозначает недоразумение, возникшее в результате того, что одно лицо, вещь или понятие принято за другое. В случае с хищением паролей, этот способ подразумевает звонок злоумышленников в компанию. Злоумышленник может представиться техническим специалистом и узнать о уязвимостях, которые могут быть в организации и воспользоваться ими. Или же просто узнать пользовательский пароль по телефону ;
· Претекстинг. Этот способ самый простой. По большому счету, используя данный метод хищения пароля, злоумышленник, может быть даже, в какой-то степени, далек от хикинга, так как в данном случае, выполняются действия, отработанные по заранее составленному претексту или, проще говоря, сценарию. Он может начать общаться с пользователем на каком-то веб-сайте, средствами переписки по электронной почте, UIM-мессенджерам и т. д. По вполне понятным причинам, данный метод может занять значительно больше времени, чем все указанные раньше, но, тем не менее, он тоже востребован.
Простейший метод хищения пароля изображен на следующей иллюстрации:
Создание сложных паролей
Скорее всего, вы все видели следующую картинку.
Здесь довольно-таки в простой и шуточной форме нарисовано, какие пароли можно создавать и как с такими паролями будут взаимодействовать ваши пользователи. Если честно, то с методом, который указан на картинке можно не согласиться, так как второй пароль может быть быстрее взломан, чем первый, хоть на это и уйдет у злоумышленника какое-то время.
Прежде всего, как я уже говорил в начале статьи, в любом случае вам нужно настраивать ограничения по созданию сложных паролей при помощи групповой политики, причем, привязывать такие политики следует не для какого-то конкретного подразделения, а для всего домена. Разумеется, настроив политики безопасности, вы предотвратите создание паролей типа «123456» или «qwerty», которые так любят указывать пользователи, пользовательские пароли могут быть все равно уязвимыми для хакеров.
Например, если у вас в отделе продаж есть пользователь Владимир, который родился 9-го числа какого-то месяца, его паролем вполне может быть что-то вроде «Vladimir9». Как видите, длина такого пароля девять символов, что, скорее всего, будет превышать предустановленную средствами групповой политики длину пароля. Помимо этого, в данном пароле есть буквы из разного регистра (ну негоже ведь, свое имя указывать с маленькой буквы ) и в данном пароле есть цифры (в указанном случае, день рождения пользователя). Соответственно, пароль будет удовлетворять требованиям, указанным при помощи групповой политики, но взломать его можно буквально в считанные секунды.
Вам нужно постараться убедить своих пользователей создавать для любых своих учетных записей сложные пароли, создавать разные пароли для каждой учетной записи, а также хранить свои пароли у себя в памяти. Последние два момента являются наиболее сложными, так как большинство пользователей привыкло иметь один пароль для своей учетной записи в Active Directory, а также, хорошо, если так, иметь один пароль на почтовые ящики, социальные сети, трекреы, форумы и так далее. Если вы все таки заставили своих пользователей создать сложный пароль, обратите внимание на то, что многие любят записывать его на бумажке и клеить к своему монитору, на клавиатуру и т.п., что является недопустимым, так как это уже паролем назвать сложно.
Как создать сам пароль
Желательно, чтобы пользовательский пароль был не менее чем из 8 символов, причем, чтобы в пароле в произвольном порядке были написаны буквы латиницей в разных регистрах, пароль содержал цифры и, чтобы там еще были специальные символы. Если пароль создается для учетной записи, которая будет выполнять вход на сервер, то желательно создавать пароли, длина которых будет превышать 12 символов. В большинстве случаев, пользователи редко заморачиваются придумыванием таких паролей. Поэтому, вам нужно будет или вместо них придумывать пароли, что крайне неудобно, т.к. если у вас 20 пользователей, это займет какое-то время, но вы с этим справитесь, но если у вас более 100 пользователей, то на такое бессмысленное занятие уйдет целый день. А их ведь еще нужно периодически менять, т.к. ни один пароль не может быть совершенным.
Поэтому вы можете или направлять пользователей на сайты с генераторами паролей, например, на сайт http://genpas.narod.ru или на сайты с подобным функционалом. Таких сайтов на самом деле очень много. Также вы можете на своем внутреннем веб-сервере написать страницу, которая будет предоставлять такой же функционал, что тоже вряд ли займет много времени, даже если у вас нет навыков в веб-программировании. А о наличии такой страницы на сайте вы можете уведомить пользователей, скажем, при помощи официальной рассылки. Соответственно, вашим пользователям не нужно будет тратить время на то, чтобы придумать сложный пароль, а останется лишь его запомнить.
Также вы можете рассказать своим пользователям о простых сценариях, позволяющих создать сложный, но легко запоминающийся пароль. Различных интересных сценариев можно придумать сотни. Рассмотрим несколько таких сценариев.
1. Возьмите два русских слова – глагол и имя существительное. Например, слова «готовить» и «подсвечник». Добавьте произвольное число, которое будет разделено на две части, например, год рождения любимого писателя, скажем, 1966, а также возьмите любой специальный символ, пусть будет, например, знак вопроса. Теперь запишите все, что нашли ранее в следующем порядке: первое слово с большой буквы, первые две цифры из года рождения, знак вопроса, второе слово с большой буквы и последние две цифры. Должно получиться что-то в этом роде: «Готовить19?Подсвечник66». теперь наберем полученный пароль на английской раскладке. В результате, у вашего пользователя будет следующий пароль: «Ujnjdbnm19?Gjlcdtxybr66». В таком пароле получилось 23 знака, причем, подобрать его методом перебора по словарю нереально, а используя метод грубой силы у злоумышленника уйдет, мягко говоря, не один месяц.
2. Возьмите любую скороговорку, например, «В недрах тундры выдры в гетрах тырят в ведра ядра кедров» и возьмите дату рождения двоюродной тети пользователя, скажем, 29 октября 1957. Теперь запишите каждую первую букву каждого слова на английском языке, причем, запишите каждую вторую букву в верхнем регистре и между некоторыми словами проставляйте по одной цифре, а в конце пароля поставьте знак восклицания. Должно получиться следующее: «vN2tV9vG10tV19vY57k!». Опять же, такой пароль подобрать будет очень сложно.
3. Возьмите любую строку самого любимого стихотворения, например, «Недаром помнит вся Россия про день Бородина!» и запишите по две буквы из каждого слова на английской раскладке, причем, для каждого нового слова укажите букву в верхнем регистре. В конце можете поставить день своего рождения. Например, в данном случае должно получиться следующее: «YtGjDcHjGhLt<j!24». получен еще один сложный пароль.
4. Возьмите сложное слово, которое вы помните, но чтобы это слово не часто использовалось в разговорной речи. Например, возьмем слово, которое стыдно не знать, а именно название вулкана, который извергался в Исландии в 2010 году, а именно: Эйяфьядлайёкюдль. В этом слове 16 букв, поэтому вставим после 8-й буквы год события, т.е. 2010 и напишем все слова, как и в предыдущих примерах на английской раскладке. Получим следующий сложный пароль: «”qzamzlk2010fq`r.lkm».
Разных интересных сценариев можно еще придумать очень много. Самое главное то, что такие пароли не сложно запомнить и они считаются сложными.
Проверить сложность созданного пароля можно многими способами. Например, у компании Microsoft есть средство проверки паролей, которое позволит вам узнать, насколько надежным получился сгенерированный вами пароль. Для этого перейдите на страницу средства проверки паролей и в соответствующем текстовом поле введите свой пароль. Вы сразу получите уведомление, в котором будет указан тип сложности вашего пароля. Пример этого средства показан на следующей иллюстрации:
Заключение
В этой статье было рассказано о методах взлома пользовательских паролей, а также о том, как можно создать сложный для взлома пароль, но который будет довольно простым для запоминания. Я надеюсь, что при помощи указанных в этой статье четырех простых примеров у вас получится научить своих пользователей следить за сохранностью своих данных и создавать сложные пароли. А какие сценарии для генерирования сложных паролей применяете Вы?
Как создать сложный и надежный пароль?
Как создать сложный и надежный пароль?
«Чтобы защитить вашу учетную запись, придумайте сложный и надежный пароль» – совет примерно такого содержания можно встретить при регистрации практически на всех сайтах. К сожалению, этому совету следуют немногие, традиционно используя пароли вроде «123321» или «qwerty».
Владельцы сайтов давно стали требовать использования сложных парольных фраз, которые должны иметь какую-ту минимальную длину, состоять из больших и маленьких букв, а также цифр. Но упорные пользователи все равно находят способ использования своих излюбленных паролей, добавляя к «123321» пару больших и маленьких букв, что в итоге приводит к созданию парольной фразы вроде «123321Qq».
Конечно, интернет-пользователей можно понять. Придумать надежный пароль – одно дело, а вот запомнить его – другое. Но в современной реальности, наполненной киберпреступностью, лучше следовать рекомендациям касательно создания сложных паролей. Далее мы рассмотрим основные виды угроз, направленных на взлом паролей, дадим несколько полезных советов по созданию надежных парольных фраз.
Для быстрого создания надежных и защищенных паролей можно использовать генератор MultiPassword
Методы взлома паролей и способы защиты от них
Взлом паролей (а, следовательно, и учетных записей на сайтах, защищенных паролями файлов, мобильных устройств и т.д.) может осуществляться несколькими способами. И они всем давно известны:
Брутфорс атака (полный перебор)
Это, т.н. «грубая атака» (от англ. «Brute» – грубый, «Forse» – атака), подразумевающая поочередный (или по какому-либо алгоритму) перебор всех возможных символов, из которых может состоять парольная фраза. Это довольно «примитивный» и продолжительный по времени способ взлома паролей, от которого сегодня защищены практически все сайты в интернете.
Тем не менее, брутфорсинг по-прежнему используется при подборе пароля, например, к зашифрованным архивам или документам. При наличии мощного оборудования брутфорс атака позволяет, к примеру, взломать 8-значный пароль, состоящий из любых символов, за несколько часов (и чем мощнее оборудование и короче пароль, тем быстрее будет осуществлен взлом). В 2012 году пользователь Twitter «@jmgosney» экспериментально доказал это, собрав собственный вычислительный кластер из 25 видеопроцессоров. Его машина была способна взламывать (подбирать) 8-значные пароли из любых символов менее чем за 6 часов.
Таким образом, для надежной защиты от брутфорсинга пароль должен:
- Состоять из как можно большего количества символов (основываясь на данных, полученных в ходе эксперимента пользователя «@jmgosney», его длина должна быть как минимум 9 символов).
- Содержать различные символы – маленькие и больше буквы, цифры и спецсимволы.
- Желательно, чтобы два одинаковых символа не находились рядом друг с другом (а лучше вообще, чтобы не было одинаковых символов во всей парольной фразе). Кроме того, не рекомендуется использовать 3 и более буквы в порядке их пребывания в алфавите или на клавиатуре. Самые «умные» алгоритмы перебора паролей обязательно учитывают тот факт, что пользователь мог ввести два или более повторяющихся символов подряд либо буквы в порядке их нахождения в алфавите или на клавиатуре (вроде «qwerty» или «asdfg»).
Перебор по словарю (Dictionary Attack)
Это разновидность брутфорс атаки, предполагающая перебор не каждого символа по отдельности, а заранее подготовленных парольных фраз (файл, где эти фразы перечислены, условно называется словарем). Использование этого способа взлома обусловлено тем, что люди часто используют в качестве паролей какие-то общеизвестные слова, имена, клички животных, названия городов, различные даты и т. д.
В файлах-словарях могут быть перечислены сотни тысяч или даже миллионы таких слов. А сами эти словари доступны для скачивания в интернете – в них нет ничего противозаконного, ведь это просто текстовые файлы со словами, датами и т.п.
Основываясь на вышесказанном, для защиты от метода атаки по словарю (помимо того, что пароль должен соответствовать рекомендациям, приведенным в предыдущем параграфе):
- Парольная фраза не должна являться словом, даже если в его начале или конце будет подставлен спецсимвол и/или цифра, а само слово написано с использованием больших и маленьких букв. Однако можно использовать словосочетание из двух или более слов с цифрами/спецсимволами между ними – и легко запомнить, и надежность высокая.
- Пароль не должен являться какой-либо датой, пусть и разделенной точками, знаками тире, слешами «/» или другими знаками. Программы/скрипты перебора паролей могут сами генерировать собственные словари, и для них не составит труда перечислить все возможные даты в самых разных форматах написания хоть за 5000 лет (впрочем, столько и не нужно, ведь пользователи обычно указывают даты, связанные с ними). Если же использование даты необходимо для запоминания пароля, ее можно комбинировать со словами, обязательно – с большими и маленькими буквами.
- Пароль не должен являться каким-нибудь русским словом, написанным в транскрипции. Подбор по словарю также может предполагать использование символов вида «ntktdbpjh», под которыми «зашифровано» слово «телевизор». Но использование русских слов в транскрипции все же можно с условием его написания большими и маленькими символами с добавлением цифр и/или спецсимволов.
Социальная инженерия
Чтобы получить доступ в какую-нибудь учетную запись потенциальной жертвы, необязательно быть профессиональным хакером-программистом. Получить желаемое (в нашем случае – пароль от чего-либо) всегда можно либо мошенническими способами, либо путем сбора информации о потенциальной жертве с целью последующего подбора пароля на ее основе.
Сегодня наиболее часто для обмана людей в интернете применяются фишинговые схемы мошенничества, подразумевающие, что жертва сама выдаст необходимые злоумышленниками данные (например, перейдя по ссылке и введя логин и пароль на поддельном сайте). К сожалению, от фишинга и подобных методов обмана невозможно защититься, зарегистрировавшись на сайте с использованием сложного пароля. Ведь пользователь сам отдает его мошеннику.
Однако от других методов социальной инженерии, подразумевающий подбор пароля на основании собранной о потенциальной жертве информации, использование сложной парольной фразы гарантирует защиту. Для этого при создании пароля нужно избегать использования в нем слов, символов, чисел и т.п., хоть как-то связанных с вами, например:
- Конструкции вроде «имя + дата рождения», «имя + фамилия + год рождения» или «город проживания + год».
- Регистрационный номер автомобиля (злоумышленники могут, к примеру, увидеть фотографию машины с номером, который они тут же проверят).
- Названия любимых музыкальных групп, книг, имена персонажей, писателей и т.п. Как мошенник может догадаться, что пользователь использовал подобный пароль? Очень просто. Например, если на странице в социальной сети потенциальной жертвы присутствует множество постов, посвященной музыкальной группе, это станет поводом для злоумышленника попробовать подобрать пароль на основе названия этой группы или имени/фамилии/прозвища какого-то из исполнителей.
Конечно, для лучшего запоминания пароля можно использовать связанные с вами слова, числа, даты и т.п., но их обязательно нужно комбинировать с другими словами, а лучше – спецсимволами.
Как создать надежный пароль, если нет идей?
Создать сложный пароль – довольно просто. Сделать это можно вручную либо, воспользовавшись специальными программами. Самостоятельно это можно сделать одним из следующих способов:
- «Гениальный» и самый простой способ – нажимать на клавиатуре случайные печатные (буквы/цифры/символы) клавиши. При этом можно время от времени нажимать клавишу «Shift», чтобы переключать регистр букв и вписывать спецсимволы (если их разрешено использовать для создания пароля). Напечатайте длинную текстовую строку, а затем выделите нужное количество символов где-то посередине – она и будет вашим паролем.
- Напечатайте несколько небольших английских или русских слов в английской раскладке клавиатуры подряд без пробелов. Вставьте где-нибудь в середине будущего пароля цифры, переведите некоторые имеющиеся буквы в верхний регистр (т. е. замените строчные буквы заглавными), добавьте еще слово в конце. Надежный пароль создан.
- Помните наизусть какое-нибудь стихотворение? Что если первые взять первые буквы нескольких слов или первые буквы из каждой строки четверостишия и использовать их для создания пароля? Конечно, буквы нужно написать на латинице (если кириллица запрещена) в верхнем и нижнем регистре, а затем в конце еще добавить пару-тройку цифр и/или спецсимволов.
Создание сложных паролей всегда можно доверить специализированным компьютерным программам, т.н. «Генераторам паролей». Их довольно много. Возьмем, к примеру, небольшую бесплатную утилиту AZPassword. Этот парольный генератор предлагает три способа создания сложных парольных фраз:
1. Генерация паролей по параметрам. Устанавливаете длину пароля и их количество (если требуется много) и выбираете тип используемых для его генерации символов (большие/маленькие русские/английские буквы, цифры, спецсимволы). По ходу выполнения этих действий пользователем программа будет автоматически генерировать пароли.
2. Генерация паролей путем кодирования введенных фраз алгоритмом «Base64». Введите любую фразу в соответствующее поле и нажмите кнопку «Сгенерировать пароль». Результат – парольная фраза, состоящая из цифр, больших и маленьких букв.
3. Генерация паролей кодированием фраз алгоритмом ROT47. Здесь все то же самое – вводим фразу в текстовое поле, нажимаем кнопку «Сгенерировать пароль». Результат – парольная фраза, состоящая из строчных и прописных букв, цифр (только при вводе слов на латинице) и спецсимволов.
Использование одного из алгоритмов кодирования – хороший способ создать сложный и одновременно запоминающийся пароль. Но для этого под рукой всегда нужно иметь программу кодирования вроде AZPassword либо использовать один из многочисленных сайтов, предлагающих шифрование фраз при помощи алгоритмов Base64 или ROT47. Нужно лишь запомнить какую-то фразу на русском языке, а затем «прогонять» ее через кодировщик каждый раз перед входом на сайт – останется лишь скопировать выданный программой результат и вставить его в форму авторизации.
И помните – не нужно использовать один и тот же, пусть даже самый сложный, пароль для авторизации во всех подряд учетных записях в интернете. Если сайты крупных компаний, банков и т.д. могут довольно хорошо сопротивляться хакерским атакам, то простые частные веб-сайты (форумы, например) не могут похвастаться мощной системой защиты от кибератак. Если злоумышленникам удастся взломать такой сайт и получить доступ ко всем логинам, паролям и почтовым ящикам пользователей, они обязательно будут использовать полученные данные (в основном пароли) для попыток взломать прочие аккаунты на других сайтах. И если пользователь использовал одну и ту же парольную фразу во всех своих учетных записях, то все они могут потенциально считаться взломанными.
Где хранить пароли, если их невозможно запомнить?
Как отмечалось выше, использование одинаковых паролей везде и всюду – совершенное неудачное решение. Потому возникает необходимость в создании множества непохожих друг на друга парольных фраз, что, в свою очередь, создает необходимость их запоминания, а сделать это простому человеку без феноменальной памяти практически невозможно. Остается один лишь выход – сохранить пароли на компьютере. И, конечно же, сохранить их так, чтобы никто не смог получить к ним доступ.
Простейший и одновременно надежный способ хранения парольных фраз – размещение файла с паролями (текстовый файл или электронный документ) в зашифрованном архиве. Любой современный архиватор имеет функцию установки пароля (ключа) на создаваемый им архив. Если использовать этот метод хранения, то пользователю нужно будет запомнить всего одну парольную фразу – ту, которой защищен архив.
Но хранение паролей в зашифрованном архиве – не очень удобный способ. Ведь этот архив всегда должен быть под рукой – на компьютере или на флешке (впрочем, можно его хранить и в облачном хранилище, затем открывать/скачивать его каждый раз, когда нужно достать пароль для авторизации). Более удобный способ хранения паролей (и не только) – использование парольного менеджера (программы, созданной специально для хранения паролей).
Подобных приложений существует множество. Возьмем для примера нашу программу MultiPassword. В список ее возможностей входит:
- Защита хранимых паролей с использованием современных алгоритмов шифрования.
- Автоматическая отправка паролей на удаленный сервер, данные на котором также зашифрованы.
- Удобный и понятный пользовательский интерфейс: быстрое создание записей, встроенный поиск по базе с паролями (по адресам сайта или добавленным заметкам), возможность группировки/сортировки парольных фраз путем распределения их между виртуальными хранилищами (создаются вручную).
- Наличие автоматической функции оценки надежности всех пользовательских паролей и поиска одинаковых парольных фраз.
- И самое главное (в контексте основной темы данной статьи) – наличие встроенного генератора надежных паролей по параметрам (длине и типе используемых в них символов).
Отдельно отметим наличие расширения MultiPassword для Google Chrome. Если его установить на компьютер (можно отдельно либо совместно с десктопной версией программы для Windows/MAC OS), то вводимые на сайтах логины/пароли могут автоматически сохраняться в базе, а когда нужно – извлекаться из нее для автозаполнения веб-форм.
Менеджер паролей для семей, предприятий и рабочих групп
Пароли приходят на 1PasswordПродолжайте. Забудьте свои пароли.
Защитите себя, свою семью или сотрудников по всему миру с помощью простой системы безопасности, удобной совместной работы и полезных сведений.
Начало работыЗапланируйте демонстрацию
Упростите безопасность дома, на работе и в любом масштабе
Личный
Защита для вас и вашей семьи, дома или в дороге.
Личное знакомство
Бизнес
Защитите свой бизнес, защитив своих людей.
Explore Business
Enterprise
Получите свободу делать большие шаги без больших рисков.
Explore Enterprise
Developer
Оптимизируйте свой рабочий процесс и храните секреты в тайне от кода.
Explore Developer
Нам доверяют более 100 000 компаний
Гораздо больше, чем менеджер паролей
Безопасность по замыслу
Добавление секретного ключа к паролю вашей учетной записи обеспечивает уникальный дополнительный уровень безопасности для надежной защиты.
Личное по умолчанию
Мы не можем видеть, что вы храните в 1Password, поэтому мы не можем использовать это, делиться ими или продавать — и никто другой не может.
Проверено экспертами
Регулярные сторонние аудиты и крупнейшее в отрасли вознаграждение за обнаружение ошибок помогают нам реагировать на угрозы до того, как они затронут вас.
Начните работу или получите ответы
Вы на шаг ближе к тому, чтобы забыть свои пароли. Нужна помощь? Наша служба поддержки — лучшая в своем деле (давайте, спрашивайте).
Начать работу
У меня есть вопрос
Использование 1Password постоянно растет, потому что к нему легко получить доступ. Я чувствую себя лучше, зная, что все хранится надежно, и что если будет скомпрометирован, мы не пострадаем от атаки.
Майк Пэрент, менеджер по технике безопасности компании Drift Узнайте, почему надежные пароли — ваша лучшая защита, и как менеджеры паролей упрощают создание и хранение надежных паролей.
Прочитать статьюБИЗНЕС
Все, что вам нужно знать о модели безопасности 1Password
Чем существенно отличается подход 1Password к обеспечению безопасности? Все начинается с нашего уникального многоуровневого подхода к защите ваших данных.
Прочитать статьюБИЗНЕС
Общий экономический эффект от 1Password Business
Какую рентабельность инвестиций получают клиенты 1Password? Каков прирост эффективности для вашей ИТ-команды? В исследовании Forrester, проведенном по заказу 1Password, есть ответы.
Прочитать статьюЧасто задаваемые вопросы
Менеджеры паролей, такие как 1Password, упрощают создание, хранение и автозаполнение паролей для всех ваших учетных записей в Интернете на всех ваших устройствах. Поскольку слабые и повторно используемые пароли являются основной причиной инцидентов безопасности, использование диспетчера паролей — это простой способ защитить себя, свою семью или свой бизнес.
1Password — это гораздо больше, чем менеджер паролей. Он может безопасно хранить ваши конфиденциальные документы, медицинские записи, ключи SSH (для разработчиков) и многие другие секреты. Этими элементами легко делиться и безопасно сотрудничать. Кроме того, членство дает массу привилегий, таких как интеграция с маскированной электронной почтой от Fastmail, вход в систему с другими поставщиками, такими как Apple и Google, и действенные рекомендации по безопасности от Watchtower.
1Password можно бесплатно попробовать в течение 14 дней, после чего вам будет предложено выбрать план, который лучше всего соответствует вашим потребностям.
Посетите нашу страницу с ценами, чтобы найти подходящий тарифный план 1Password.
Просто нужен один надежный пароль для чего-то? Наш онлайн-генератор паролей поможет вам создать пароль одним щелчком мыши.
Да. 1Password уже почти два десятилетия помогает миллионам людей и более чем 100 000 компаний защищать их самую ценную информацию.
Наш уникальный двухуровневый подход к шифрованию работает рука об руку с дополнительными тактиками для сквозной защиты ваших данных: на ваших устройствах, на наших серверах и везде между ними. На самом деле вся система предназначена для обеспечения безопасности вашей информации, даже если наши системы будут взломаны.
Посетите нашу страницу безопасности, чтобы узнать больше об уникальности безопасности 1Password.
Вам не нужен доступ в Интернет, чтобы использовать 1Password. Хотя 1Password использует облако, чтобы сделать ваши данные доступными на каждом из ваших устройств, эти устройства сохраняют локальную копию для быстрого доступа, поэтому вы можете использовать 1Password в автономном режиме. Если вы используете 1Password без подключения к Интернету, ваши данные будут обновлены до последней версии, как только вы снова подключитесь к сети.
1Password использует облако, чтобы сделать ваши данные доступными на всех ваших устройствах без ущерба для безопасности, и сохраняет копию этих данных на каждом устройстве для быстрого доступа. Ваши данные, включая имя хранилища и URL-адреса веб-сайтов, полностью зашифрованы на наших серверах. Даже если злоумышленник взломает наши серверы, он не сможет прочитать ваши данные без пароля вашей учетной записи и секретного ключа, ни один из которых не известен нам и не хранится у нас.
Узнайте больше о подходе 1Password к облачному хранилищу и синхронизации в блоге 1Password.
Да, но вам не нужно верить нам на слово.
Мы вкладываем большие средства в то, чтобы быть хорошими гражданами сообщества безопасности, привлекая сторонних исследователей для регулярных оценок и аудитов нашей безопасности и предлагая крупнейшую в отрасли программу вознаграждения за обнаружение ошибок, которая помогает нам обнаруживать и устранять уязвимости до того, как они смогут повлиять на вас.
Готовы к безопасному паролю?
Я готов
Пять шагов к созданию идеальных паролей
Всем известно, что надежные пароли — это единственный способ обеспечить безопасность наших онлайн-данных, и, к счастью, многие пользователи наконец осознали важность надлежащей защиты своей онлайн-конфиденциальности . Но, тем не менее, предстоит пройти долгий путь, прежде чем каждый сможет путешествовать по Интернету, не опасаясь, что его самые конфиденциальные данные будут скомпрометированы.
Однако уберечь себя от очередной жертвы кражи данных не так сложно, как может показаться; на самом деле к следуя этим пяти простым шагам, хакеры точно будут держаться подальше от ваших учетных записей.
Шаг 1: Используйте тяжелую артиллерию, менеджеры паролей
Если вы еще этого не сделали, настоятельно рекомендуется подписаться на услуги решения для управления паролями , одного из лучших способов сделать онлайн-аккаунты полностью хакерскими -доказательство.
На самом деле, есть несколько причин, по которым менеджер паролей считается лучшим защитником конфиденциальности в Интернете для пользователей Интернета:
- Менеджеры паролей по умолчанию поставляются с шифрованием военного уровня , что означает, что никто, даже разработчик программного обеспечения, не может видеть, какая информация — будь то пароли, данные кредитной карты, лицензии, защищенные заметки и подобное – хранится в хранилище менеджера паролей.
- Доступ к менеджерам паролей возможен только с помощью так называемого мастер-пароля , который может быть дополнительно дополнен дополнительными вариантами аутентификации, такими как биометрические аутентификаторы, приложения для двухфакторной аутентификации (см. ниже) или специальные токены безопасности.
- Большинство программ для управления паролями поставляется с надстройками для браузера, которые способны не только извлекать все пароли и учетные данные, хранящиеся в собственном диспетчере паролей браузера, но и удобно автоматически заполнять формы и экраны входа с сохраненными данными. .
- Благодаря такому автозаполнению легко заменить старые пароли новыми, более надежными и хранить их в сейфе программы без необходимости их запоминать. На самом деле, использование менеджера паролей сокращает количество паролей, которые необходимо запомнить, до одного: вышеупомянутого мастер-пароля.
- Менеджеры паролей также часто предоставляют различные дополнительные функции, такие как бесшовная синхронизация данных между устройствами , безопасный обмен паролями, автоматический вход в систему, подробный анализ паролей, хранящихся в хранилище, и этот список можно продолжить.
Master PasswordAdd-onVaultAnalysis
Создание мастер-пароля
Надстройка браузера Менеджера паролей
Хранилище Менеджера паролей
Анализ надежности пароля
Шаг 2. Чем длиннее пароль, тем лучше
Конечно, придумать сложный пароль довольно сложно. Но если вы хотите хорошо себя обезопасить, то это практически обязательно, так как чем больше символов содержит пароль , тем сложнее его будет взломать хакерам .
Существуют различные способы придумать длинный и надежный пароль: один из таких вариантов — сгенерировать пароль с помощью онлайн-генератора паролей или встроенный инструмент менеджеров паролей . Другой вариант, который можно рассмотреть, — это придумать слово или выражение , которое вы можете легко запомнить , а затем изменить буквы верхнего регистра на строчные — и наоборот — и/или заменить определенные буквы нестандартными символами или цифрами, которые напоминают оригинальное письмо.
Шаг 3: Смешивание этих специальных символов
Говоря об этих нестандартных символах, есть небольшое правило относительно них: если пароль заполнен специальными символами, то лучше отделить их друг от друга. Проще говоря, 9За нестандартным символом 0131 не должен сразу следовать другой , а вместо этого должна быть одна или несколько букв или цифр.
Шаг 4. Не доверяйте браузерам управление вашими паролями
Каким бы заманчивым ни было доверять нашим веб-браузерам наши самые конфиденциальные данные, это все равно, что предоставлять свои учетные данные на серебряной тарелке. Начнем с того, что b встроенные хранилища паролей браузеров вообще не защищены от хакеров .