Hvordan lage og huske et sikkert passord

De fleste hackere ikke bry deg med de sofistikerte metoder for å stjele passord. De tar lett å gjette kombinasjoner. Omtrent 1% av all tiden eksisterende passord, kan du velge mellom fire forsøk.

Hvordan er dette mulig? Veldig enkelt. Du prøver fire vanligste i verden til sammen: passord, 123456, 12345678, qwerty. Etter en slik passasje kan åpnes i gjennomsnitt 1% av "skrin".

Si at du befinner deg i de 99% av brukerne som har passordet er ikke så enkelt. Selv i et slikt tilfelle er det nødvendig å regne med ytelsen til moderne programvare for hacking.

Gratis program John the Ripper, som er i den offentlige sfæren, kan du sjekke millioner av passord per sekund. Individuelle prøver av spesialisert kommersiell programvare erklære kraft på 2,8 milliarder passord per sekund.

I utgangspunktet programmet for å bryte kjøring av en liste over statistisk de mest vanlige kombinasjoner, og deretter slå til fulle ordlisten. Med disse tatt hensyn til i å oppdatere listen over utviklingen over tid, er folk velger passord kan variere litt, og disse endringene.

Over tid, alle typer web-tjenester og programmer som har besluttet å tvangs komplisere passord opprettet av brukere. Lagt krav om at passordet må ha en viss minimumslengde, inneholde tall, store bokstaver og spesialtegn. Noen tjenester tok dette så alvorlig at å komme opp med et passord som vil ta systemet, vi har veldig lange og kjedelige.

Hovedproblemet er at nesten alle brukere genererer ikke egentlig motstandsdyktig mot passord gjette, og bare prøver å oppfylle minimumskravene til sammensetningen av passord.

Resultatet er et passord-stil password1, password123, passord, passord, passord! og utrolig uforutsigbar p @ ssword.

Tenk deg at du trenger å endre passordet spiderman. Med stor sannsynlighet vil det se ut som en $ pider_Man1. Original? Tusenvis av mennesker vil endre det til den samme eller en svært lik algoritme.

Hvis en angriper kjenner disse minimumskravene, blir situasjonen bare blir verre. Det er av denne grunn er ikke alltid pålagt et krav kompliserer passord gir bedre sikkerhetOg ofte skaper en falsk følelse av økt trygghet for.

Jo enklere det er å huske passordet, jo mer sannsynlig er det å komme inn i sprekker programmer ordbøker. Til slutt viser det seg at er virkelig sikkert passord er rett og slett umulig å huske, og derfor bør det være et sted fix.

Ifølge eksperter, selv i denne epoken av digital teknologi mennesker er fortsatt i stand til å stole på et stykke papir med passord skrevet på den. Et slikt ark som holdes i et skjult sted fra nysgjerrige øyne, for eksempel i en veske eller lommebok.

Men passord liste ikke løse problemet. Long passord vanskelig å ikke bare huske, men også for å delta. Situasjonen er forverret virtuelt tastatur mobile enheter.

Samspill med dusinvis av tjenester og nettsteder, mange mennesker forlate en sti av identiske passord. De prøver å bruke samme passord for hvert område, fullstendig ignorerer risikoen.

I dette tilfellet, noen steder fungere som en sykepleier, som fører til komplisere kombinasjon. Som et resultat av at brukeren bare kan ikke tilbakekallingHvordan han måtte endre sin standard ett passord for dette nettstedet.

Omfanget av problemet viste seg å forstå i 2009. Deretter, på grunn av sikkerhetshull hackere klart å stjele brukernavn og database passord rockyou.com - selskapet utgir spill på Facebook. Angriperen har satt foten i open access. All den inneholdt 32,5 millioner plater med brukernavn og passord til regnskapet. Lekkasjer har skjedd i det siste, men omfanget av denne hendelsen får hele bildet.

Den mest populære passord var en kombinasjon av RockYou.com 123456. Det ble brukt nesten 291 000 mennesker. Men opp til 30 år mest foretrukne seksuelle temaer og vulgaritet. Eldre mennesker av begge kjønn ofte slått til et bestemt område i utvalget kultur passord. For eksempel, Epsilon793 synes ikke så dårlig alternativ, bare denne kombinasjonen var i Star Trek. 8675309 syvsifret møtt mange ganger, fordi dette tallet dukket opp i en av sangene av Tommy Tutone.

Faktisk etableringen av sterke passord - en enkel oppgave, er det tilstrekkelig å lage en kombinasjon av tilfeldige tegn.

Du kan ikke lage en perfekt kombinasjon av tilfeldig i den matematiske mening i hodet mitt, men av dere fordres det. Det er spesielle tjenester, genererer virkelig tilfeldige kombinasjoner. For eksempel, random.org kan skape slike passord:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Dette er en enkel og elegant løsning, spesielt for de som bruker sjef for å lagre passord.

Dessverre, de fleste brukerne fortsette å bruke enkle passord er upålitelig, selv ignorerer regelen om "et annet passord for hvert nettsted." For dem er det praktiske verdt høyere enn sikkerhet.

Situasjoner der sikkerhet kan bli kompromittert passordet, kan det deles inn i 3 hovedkategorier:

• tilfeldigHvor passordet prøver å finne noen du kjenner, basert på kjent informasjon om deg til ham. Ofte vil en slik angriper bare å gjøre det gøy, lære noe om deg eller spille et skittent triks.
• massivt angrepNår offeret kan være absolutt enhver bruker av enkelte tjenester. I dette tilfellet, bruk spesialisert programvare. For angriperen velger de minst beskyttede områder som tillater flere alternativer for å skrive inn et passord for en kort periode.
• målrettetVed å kombinere mottak tankevekk hint (i det første tilfelle) og av bruken av spesialisert programvare (som i massen angrep). Her snakker vi om å prøve å få virkelig verdifull informasjon. Bare bidra til å beskytte en tilstrekkelig lang tilfeldig passord, valg som vil ta tid, kan sammenlignes med varigheten av livet.

Som du ser, kan offeret være absolutt alle. Utsagn som "passord vil ikke stjele, fordi jeg har ingen jeg trenger" ikke er relevant, fordi du Du kan komme inn i denne situasjonen ved en tilfeldighet, ved en tilfeldighet, uten noen synlig grunner.

Enda mer alvorlig er å behandle beskyttelse av passord til de som har verdifull informasjon relatert til virksomheten eller det er noen i konflikten på grunnlag av den økonomiske (for eksempel deling av eiendom i skilsmisse, konkurranse virksomhet).

I 2009, Twitter (i forståelsen av hele tjenesten) har blitt kompromittert bare fordi administratorpassordet brukes som ordet lykke. Hacker plukket den opp og plassert på nettsiden Digital Gangster, noe som førte til kapringen av kontoer Obama, Britney Spears, Facebook, og Fox News.

akronymer

Som i alle andre aspekter av livet, har vi alltid å finne et kompromiss mellom maksimal sikkerhet og maksimal komfort. Hvordan finne en middelvei? Hva er passordet generasjon strategi vil skape en robust kombinasjoner som du lett kan huske?

I øyeblikket den beste kombinasjonen av pålitelighet og bekvemmelighet er konvertering av en setning eller setninger i passordet ditt.

Valgt sett av ord som du alltid vil huske, og fungerer som et passord kombinasjon av de første bokstavene i hvert ord. For eksempel Måtte kraften være med deg omgjort til MTFBWY.

Men siden en original setninger Den vil bli brukt av de mest kjente, til slutt programmet vil motta disse akronymer i sine lister. Faktisk inneholder forkortelsen bare bokstaver, men fordi objektivt mindre pålitelig enn en tilfeldig kombinasjon av tegn.

Bli kvitt den første utgaven vil hjelpe de rette valg setninger. Hvorfor slå til passord står den verdensberømte uttrykk? Du husker kanskje noen vitser og uttalelser som er relevante bare blant dine nære medarbeidere. La oss si at du hører en veldig fengende setning fra en bartender på en lokal institusjon. Bruk den.

Og likevel neppe et passord generert akronym du vil være unik. akronymer problem er at forskjellige setninger kan bestå av ord som begynner med den samme bokstav, og anordnet i den samme sekvens. Statistisk forskjellige språk, er det en økt hyppighet av forekomst av visse bokstaver i ord som nybegynnere. Programmet vil ta hensyn til disse faktorene og effektiviteten av akronymer i den opprinnelige versjonen vil slippe.

reversere måten

Oppløsningen kan være en metode for generering av revers. Du oppretter i random.org helt tilfeldig passord, og deretter slå den inn i meningsfulle tegn i en minneverdig setning.

Ofte tjenester og nettsteder gi brukerne det midlertidige passordet, som er de fleste helt tilfeldige kombinasjoner. Det kan være lurt å endre det, fordi det ikke vil være i stand til å huske, men det er verdt litt nærmere, og det blir klart: passord å huske og ikke trenger. For eksempel ta den neste versjonen med random.org - RPM8t4ka.

Selv om han ikke gir mening, men hjernen vår er i stand til å finne noen regularitet og konsistens selv i et slikt rot. Til å begynne med vil du legge merke til at de tre første bokstavene i det store bokstaver, og de neste tre - små bokstaver. 8 - en dobbel (på engelsk to ganger - t) 4. Se litt på passord, og du er sikker på å finne sine egne assosiasjoner med den foreslåtte sett av bokstaver og tall.

Hvis du kan huske en meningsløs sett av ord, og deretter bruke den. La Password sving inn omdreininger per minutt åtte spor 4 Katty. Passe enhver konvertering, noe som er bedre "låst opp" hjernen.

Tilfeldig passord - dette er gullstandarden i informasjons sikkerhet. Han er per definisjon bedre enn noen passord oppfunnet av mennesket.

akronymer ulempen er at over tid, vil spredningen av denne teknikken reduserer effektiviteten og avkastningen metoden vil være like pålitelig, selv om alle mennesker i verden vil bruke den i tusen år.

Tilfeldig passord faller ikke inn på listen over populære kombinasjoner, og angriperen bruke metoden for masseangrep, plukke opp et passord bare brute force.

Ta en enkel tilfeldig passord, vurderer store bokstaver og tall - det er 62 mulige tegn for hver posisjon. Hvis du gjør et passord er bare en 8-sifret, får vi 62 ^ 8 = 218000000000000 alternativer.

Selv om antall ganger i løpet av en viss tidsperiode er ikke begrenset til, den mest kommersielle spesialisert programvare med en effekt på 2,8 milliarder passord per sekund i gjennomsnitt bruker 22 timer på valg av den ønskede kombinasjon. Å sørge for at vi legger inn et passord bare en ekstra karakter - og hans hacking nødvendig i mange år.

Tilfeldig passord er ikke usårbar, så det kan bli stjålet. Alternativene er mange, alt fra å lese keyboard input og slutter med kameraet på skulderen din.

En hacker kan treffe selve tjenesten, og for å få data direkte fra sine servere. I dette scenariet, ikke brukeren ikke avhengig av noe.

Forente pålitelig grunnlag

Så vi gjorde det til hoved. Hvilken taktikk bruker et tilfeldig passord som skal brukes i det virkelige liv? Fra synspunkt av balansen Pålitelighet og bekvemmeligheten av et godt vise seg "filosofi om sterke passord."

Prinsippet er at du bruker den samme basis - super stabil passord (dens varianter) til de viktigste for deg tjenester og nettsteder.

Husk en lang og kompleks kombinasjon av krefter til alle.

Nick Berry, Information Security konsulent, tillater bruk av et slikt prinsipp, forutsatt at passordet er svært godt beskyttet.

Det er ikke tillatt tilstedeværelse av skadelig programvare på datamaskinen som du har skrevet passordet. Ikke bruk samme passord for mindre viktige områder og underholdning - de er ganske nok for flere enn enkle passord som hacking kontoen din her vil ikke skape noen dødelig konsekvenser.

Det er enighet om at det solide grunnlaget vi må liksom endre for hvert område. Som et enkelt alternativ kan du legge til toppen av en bokstav, som ender med navnet på nettstedet eller tjenesten. Hvis du går tilbake til et tilfeldig passord RPM8t4ka, deretter logge på Facebook, han vil slå inn i en kRPM8t4ka.

En angriper som så et passord vil ikke være i stand til å forstå hvordan det genererte passordet til din bank konto. Problemene begynner når noen får tilgang til to eller flere av passord generert på denne måten.

sikkerhetsspørsmål

Noen kaprerne generelt ignorere passord. De handler på vegne av kontohaver og simulerer en situasjon hvor du har glemt passordet ditt og ønsker å gjenreise hans hemmelige spørsmålet. I et slikt scenario, kan han endre passordet på egen hånd, men den egentlige eieren vil miste tilgangen til kontoen din.

I 2008, noen fikk tilgang til e-post fra Sarah Palin, Alaska guvernøren, og på det punktet ennå, og presidentkandidat. En angriper svarte på sikkerhetsspørsmålet, som var: "Hvor fikk du møte din mann".

Etter 4 år, Mitt Romney, er også en kandidat for USAs president på den tiden, mistet noen av sine kontoer på forskjellige tjenester. Noen svarte et sikkerhetsspørsmål om hvordan Mitt Romney kjælenavn.

Du gjettet essensen.

Den kan ikke brukes som et sikkerhetsspørsmål og svar og offentlige data lett å gjette.

Problemet er ikke at denne informasjonen kan nøyaktig trekke Internett eller i person tilnærmet. Svar på spørsmålene i stil med "kallenavnet på dyret", "favoritt hockey team," og så videre perfekt matchet fra tilsvarende ordbøker populære alternativene.

Som en midlertidig alternativ kan bruke en strategi absurditet respons. Hvis du bare skal svaret ikke har noe å gjøre med det hemmelige spørsmålet. Mors pikenavn? Difenhydramin. Kjæledyret ditt? 1991.

Men en lignende teknikk, hvis den finner utbredt, vil bli tatt hensyn til i de aktuelle programmene. Absurde svarene er ofte stereotype, det vil si noen setninger vil skje mye oftere enn andre.

Faktisk, det er ikke noe galt å bruke de virkelige svarene, trenger du bare å velge med omhu spørsmålet. Hvis saken er uvanlig, og svaret er kjent bare for deg og ikke å gjette fra tre forsøk, så er alt i orden. Pluss sannferdig svar er at du ikke glemmer det over tid.

PIN

Personlig identifikasjonsnummer (PIN) - en billig lås som stoler på vår penger. Ingen er bekymret for hvordan å skape et mer pålitelig kombinasjon av minst fire av disse tallene.

Nå stoppe. Akkurat nå. Nå, uten å lese det neste avsnittet, kan du prøve å gjette den mest populære PIN-kode. Ready?

Ifølge estimater av Nick Berry, 11% av den amerikanske befolkningen bruker som en PIN-kode (der du kan endre det til) en kombinasjon av 1234.

Hackere ikke ta hensyn til PIN-koder fordi uten den fysiske tilstedeværelsen av kortet kode er ubrukelig (delvis kan dette være begrunnet og en liten kodelengde).

Berry tok lister på nettverket etter lekkasjen av passord, som er kombinasjoner av fire sifre. Det er sannsynlig at personen som bruker passord 1967 valgte det for en grunn. Andre PIN popularitet - er 1111, og 6% av folk velger denne koden. På det tredje sted 0000 (2%).

La oss si at det å vite denne informasjonen i hendene på en person noen bankkort. Tre forsøk på å sperre kortet. Enkel matematikk gjør det mulig å beregne at denne personen har en 19% sjanse for å gjette koden, hvis det konsekvent vil innføre i 1234, 1111 og 0000.

Sannsynligvis på grunn av dette, det store flertallet av bankene angi PIN-koden for å utstede plastkort selv.

Men mange beskyttet PIN-kode smarttelefoner, og deretter driver en popularitet rating på 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Ofte PIN er noen år (fødselsår eller historisk dato).

Mange mennesker liker å gjøre PIN i gjentatte par av tall (og meget populær par, karakterisert ved at de første og andre siffer avviker med ett).

Digitalt tastatur mobil utgang i toppen tegne som 2580 - å sette sitt nok til å gjøre en direkte passasje fra topp til bunn i midten.

I Korea, er antallet 1004 konsonant med ordet "engel", som gjør denne kombinasjonen er ganske populær.

resultere

1. Gå til random.org og gjøre det 5-10 kandidater passord.
2. Velg et passord som du kan slå inn en minneverdig setning.
3. Bruk dette uttrykket til å huske passordet.

Se også:

• Hvordan sette et passord for å BIOS, for å beskytte datamaskinen →
• Hvordan å sette et passord på en mappe i Windows eller MacOS →
• 5 programmer som vil bidra til å sette et passord på de valgte programmene i Android →
• Denne tjenesten vil fortelle deg hvor sikkert ditt nye passord →
• Hva du trenger å gjøre akkurat nå for å beskytte personopplysninger på Internett →