Пароли — первый шаг к безопасности

Вновь стала задача придумать логин и надежный пароль, а у Вас уже так много аккаунтов в различных социальных сетях, форумах, блогах и приложениях, что запомнить очередной набор символов превращается в невыполнимую задачу? «Чтобы Ваш аккаунт был в безопасности, Вам необходимо придумать надежный пароль, содержащий не менее 8-ми символом» — регулярно можем наблюдать подобное правило, но, как должен выглядеть этот пароль и, самое главное, как его запомнить? Рассмотрим подробнее.

Блок: 1/8 | Кол-во символов: 483
Источник: http://withsecurity.ru/kak-pridumat-nadezhnyj-parol-i-zapomnit-ego

Содержание

Самые популярные пароли

«Рейтинг 2017 года: 123456 — лидер

Как сообщает Bleeping Computer, к такому выводу пришли эксперты калифорнийской компании SplashData (выпускает менеджеры паролей, в том числе TeamsID и Gpass) по итогам анализа миллионов паролей, оказавшихся в Сети в результате различных утечек.

«123456» является очень ненадежным паролем, но остальные в списке ста худших паролей 2017 года ничем не лучше. Большой популярностью пользуются спортивные термины (football, baseball, soccer, hockey, Lakers, jordan23, golfer, Rangers, Yankees), марки автомобилей (Mercedes, Corvette, Ferrari, Harley) и выражения (iloveyou, letmein, whatever, blahblah).

Как бы то ни было, истинными лидерами списка худших паролей являются имена: Robert (#31), Matthew (#32), Jordan (#33), Daniel (#35), Andrew (#36), Andrea (#38), Joshua (#40), George (#48), Nicole (#53), Hunter (#54), Chelsea (#62), Phoenix (#66), Amanda (#67), Ashley (#69), Jessica (#74), Jennifer (#76), Michelle (#81), William (#86), Maggie (#92), Charlie (#95) и Martin (#96).

Первые 25 паролей из топ-100 худших паролей 2017 года:

1 — 123456 2 — password 3 — 12345678 4 — qwerty 5 — 12345 6 — 123456789 7 — letmein 8 — 1234567 9 — football 10 — iloveyou 11 — admin 12 — welcome 13 — monkey 14 — login 15 — abc123 16 — starwars 17 — 123123 18 — dragon 19 — passw0rd 20 — master 21 — hello 22 — freedom 23 — whatever 24 — qazwsx 25 — trustno1

«Рейтинг 2016 года: 123456 — лидер

В январе 2017 года стало известно о том, что 123456 остается самым популярным в мире паролем. Об этом говорится в исследовании, опубликованном компанией Keeper Security. По данным исследователей, в 2016 году не менее 17% пользователей интернета используют или использовали в самом недавнем прошлом именно этот пароль.

Предметом исследования стали в общей сложности 10 миллионов, опубликованных в Сети после разных масштабных взломов. 123456 занял первое место по популярности. На втором — «более сложный» пароль 123456789, на третьем — «легендарный» qwerty. Также в изобилии встречаются 111111, 123123, 123321, google, 987654321 и прочие «сложнейшие» комбинации, которые подбираются «методом тыка».

Пароль 123456 остается самым популярным в интернете

Хотя сами пользователи — первые, кого следует обвинять за такое пренебрежение основами безопасности, однако часть ответственности лежит и на владельцах сайтов, которые не пытаются ввести более жесткие правила для паролей и допускают легко угадываемые или подбираемые комбинации.

Мы можем критиковать хроническую неспособность пользователей применять сложные пароли. В конце концов, это в их собственных интересах. Однако большая доля ответственности лежит на владельцах веб-сайтов, которые не вводят политику принудительного усложнения паролей даже на самом базовом уровне. Это несложно сделать, однако… многим все равно, — утверждают исследователи.

В публикации Keeper Security указывается еще одна интересная деталь. В списке самых популярных паролей присутствуют такие комбинации как 18atcskd2w и 3rjs1la7qe. Эти пароли выглядят случайными, но частота их употребления показывает, что это не так.

По мнению исследователей, этими паролями серийно пользуются боты для автоматической регистрации новых аккаунтов в почтовых сервисах. Эти аккаунты затем используются для спама и фишинга.

Скорее всего, это означает, что провайдеры почтовых сервисов не прилагают достаточных усилий для борьбы с ботами: идентичные «случайные» пароли — это явный повод для серьезных подозрений.

«Рейтинг» 2015 года: 123456 — лидер

SplashData представляет топ самых используемых паролей ежегодно. Информацию компания добывает из источников, которые «сливают» чужие пароли к самым разнообразным площадкам в интернете. В 2015 году SplashData проанализировала 2 млн различных паролей, сравнив результаты с 2014 годом.

Первую и вторую строчки, как и в предыдущем году, заняли пароли «123456» и password. На третье место поднялся цифровой набор «12345678», сместив более простой «12345». Знаменитый qwerty также поднялся на одну строчку, заняв четвертое место.

Что касается «осмысленных» паролей, то названия видов спорта (football и baseball) остаются столь же популярны. Также среди «новичков» в списке появились пароли solo и starwars, недвусмысленно отсылающие к выходу продолжения киносаги «Звездные войны». Они заняли 23-е и 25-е места топа соответственно.

«Рейтинг» 2014 года: 123456 — лидер

В сентябре 2014 года в Сети опубликован текстовый файл с 1,26 млн логинами и паролями от учетных записей «Яндекса». В компании утверждают, что он не является результатом взлома или утечки. Пользователи подсчитали, что пароль «123456» встречается в файле около 38 тыс. раз, «123456789» — около 13 тыс. раз, «111111» — около 9,5 тыс., а «qwerty» — около 7,7 тыс. В число популярных паролей также попали «7777777», «123321», «000000», «666666» и др.

«Рейтинг» 2013 года: 123456 выходит в лидеры

В 2013 г. слово «password» перестало быть самым популярным паролем среди пользователей интернета, сообщила компания SplashData, публикующая ежегодный список худших паролей Worst Password.

Сочетание цифр «123456» отвоевало первенство у лидера худших паролей слова «password», которое опустилось на второе место по популярности. До этого «password» возглавлял рейтинг два года подряд — в 2011 г. и в 2012 г.

На третьем месте осталось сочетание «12345678». В первую десятку также вошли следующие пароли: «qwerty», «abc123», «123456789», «111111», «1234567», «iloveyou» и «adobe123».

Наличие пароля «adobe123» в первой десятке связано с крупнейшей утечкой в истории, в результате которой были раскрыты данные 150 млн пользователей разработчика Photoshop, компании Adobe Systems.

«Рейтинг» 2012 года: Password — лидер

Глобальный отчет по безопасности компании Trustwave 2012 года посвящен уязвимым элементам в информационной безопасности компании. Авторы доклада исследовали более 300 инцидентов в 18 странах, произошедших в 2011 году.

Доклад акцентирует внимание на продолжающемся росте кибератак, а также увеличению количества злоумышленников в сфере информационной безопасности.

Большинство инцидентов возникает в следствии организационных и административных проблем. В ходе исследования было обнаружено, что 76% случаев нарушений произошло из-за уязвимости системы безопасности отделов, ответственных за системную поддержку и развитие компании.

Большая часть исследования посвящена проблеме использования слабых паролей. По мнению специалистов Trustwave, 80% инцидентов происходит в следствии слабых паролей. Слабые пароли продолжают оставаться основным уязвимым местом, используемым злоумышленниками как в крупных, так и в небольших компаниях.

По факту, использование слабых и стандартных паролей облегчает работу взломщиков для проникновения в информационные системы. Порой преступникам не требуется использование сложных, продуманных методов для взлома. По данным компании Trustwave, самым используемым паролем в сети является `Password1`(пароль1). В исследовании отмечено, что применение стандартных паролей присуще также при работе с серверами, сетевым оборудованием и различными устройствами пользователей.

В своем исследовании компания Trustwave приводит список наиболее употребляемых паролей. Английское слово `Password` (пароль) употребляется в 5% случаях, а слово Welcome (приветствие) в 1.3% случаев. Стоит также обратить внимание на использование времен года и дат. Не использовать подобные пароли и их варианты:

  • Password1
  • welcome
  • 123456
  • Winter10
  • Spring2010

Также одна из проблем заключается в том, что многие устройства и приложения используются с изначальными стандартными паролями, зачастую дающими полноту прав доступа, говорится в исследовании.

«Рейтинг» 2011 года: Password — лидер

Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:

  • password,
  • 123456,
  • 12345678,
  • qwerty,
  • abc123,
  • monkey,
  • 1234567,
  • letmein,
  • trustno1,
  • dragon,
  • baseball,
  • 111111,
  • iloveyou,
  • master,
  • sunshine,
  • ashley,
  • bailey,
  • passw0rd,
  • shadow,
  • 123123,
  • 654321,
  • superman,
  • qazwsx,
  • michael и
  • football.

Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак «_». Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.

Блок: 2/13 | Кол-во символов: 8864
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Недооцененное значение пароля


Тема «хакерских атак» за последний год в СМИ стала привычной. Она небезосновательно поднималась и раньше, пусть и не с таким постоянством.

За последние два года о взломах или их попытках заявляли российские правозащитные активисты и оппозиционные политики, коммерческие компании и даже кандидаты в президенты нескольких стран.

В таких условиях у простого пользователя может сложиться представление, что защитить себя от попыток взлома со стороны опытного хакера невозможно. Позиция «захотят — взломают» порождает безответственное отношение к своей компьютерной безопасности и делает пользователя еще более уязвимым.

Однако важно знать, что в большинстве случаев компьютерные взломы представляют из себя ничто иное, как подбор или кражу пароля к электронной почте и соцсетям. И большая часть упомянутых выше хакерских атак заключалась именно в этом. То есть качественный пароль и его бережное хранение до сих пор являются краеугольными камнями компьютерной безопасности.

«Хакерские взломы» чаще всего связаны с подбором или кражей паролей

Блок: 2/5 | Кол-во символов: 1068
Источник: https://hrdco.org/featured/paroli-i-ih-mesto-v-sisteme-bezopasnosti-kak-sozdat-i-zapomnit-nadezhnyj-parol/

Шаги

  1. Изображение с названием Create a Password You Can Remember Step 1

    Знайте, чего следует избегать. Прежде чем решать, что вы хотите добавить в свой пароль, обратите внимание на несколько примеров того, что не стоит туда включать:

    • клички животных или имена членов семьи/друзей;
    • слова в том виде, в котором они встречаются в словаре (например, «[email protected]@» — это хороший вариант, а «lampochka» — нет);
    • личная информация (например, свой номер телефона);
    • публичная информация (например, что-то связанное с вашим досугом, о чем легко узнать);
    • аббревиатуры.
  2. Изображение с названием Create a Password You Can Remember Step 2

    Изучите составляющие хорошего пароля. Если вы внесете все следующие компоненты в свой пароль, его будет очень сложно взломать:

    • знаки и верхнего, и нижнего реестра (заглавные и строчные);
    • числа;
    • символы;
    • не менее 12 знаков;
    • что-то, что на первый взгляд сложно расшифровать как реальное слово или фразу.
  3. Изображение с названием Create a Password You Can Remember Step 3

    Примите во внимание распространенные стратегии паролей. Если у вас нет собственного метода для создания запоминающегося пароля, попробуйте выполнить одно из следующих действий:

    • удалите гласные из слов или фраз (например, «Каникулы в Простоквашино» станет «кнклвпрстквшн»).
    • перемещайте руку при наборе текста (например, введите слово «wikiHow», сдвигая руки на одну строку ниже на клавиатуре);
    • используйте шифр (например, номер страницы, строки абзаца и слова из книги);
    • используйте двойной пароль (например, создайте пароль, поставьте пробел или разделительный символ, а потом напечатайте пароль еще раз).
  4. Изображение с названием Create a Password You Can Remember Step 4

    Выберите сложное слово или словосочетание, которое имеет для вас какое-то значение. Скорее всего, у вас есть несколько слов, словосочетаний, названий (например, альбома или песни) или чего-то подобного, что, по какой-то причине, хорошо вам запомнилось. Такие слова/фразы создают отличную основу для паролей, потому что имеют эмоциональное значение именно для вас, но не для кого-либо еще.

    • Например, можно выбрать название любимой песни из определенного альбома или понравившуюся фразу из конкретной книги.
    • Никогда не выбирайте любимую фразу, о которой знают другие люди.
  5. Изображение с названием Create a Password You Can Remember Step 5

    Выберите стратегию для пароля. Вы можете применить одну из распространенных стратегий, упомянутых выше (например, удаление гласных) или создать собственную.

    • Некоторые эксперты рекомендуют выбирать несколько случайных слов и связывать их вместе, не меняя потом последовательность (например, «банантелефонсокшнурок»).
  6. Изображение с названием Create a Password You Can Remember Step 6

    Заменяйте буквы любимыми числами. Если у вас есть любимое число или два, замените им пару букв в пароле.

    • Избегайте использования очевидных замен (например, 0 для о, 4 для ч и тому подобное).
  7. Изображение с названием Create a Password You Can Remember Step 7

    Добавьте в пароль символ, который вам нравится. Если у вас есть любимый символ на клавиатуре, замените им букву или добавьте в начало пароля, чтобы лучше запомнить.

    • Большинство сервисов требуют сделать этот шаг при создании пароля.
  8. Изображение с названием Create a Password You Can Remember Step 8

    Добавьте код в свой пароль. Например, если вы придумываете пароль для рабочей электронной почты, добавьте «рабочая почта» (или «рбчпчт») в конце пароля. Таким образом, вы сможете использовать одну и ту же основу для пароля в большинстве сервисов, но при этом нигде его не повторяя в точности.

    • Крайне важно не повторять пароль более одного раза (например, не используйте пароль от для электронной почты или иного сервиса).
  9. Изображение с названием Create a Password You Can Remember Step 9

    Подумайте об удвоении пароля. Если ваш пароль состоит всего из 8 знаков, а выбранный сервис (например, ) допускает 16 или более знаков, просто введите пароль дважды.

    • Для дополнительной безопасности нажмите и удерживайте клавишу shift, когда пишите вторую часть пароля (например, «@[email protected]» станет «@[email protected]»).
  10. Изображение с названием Create a Password You Can Remember Step 10

    Создайте вариации своего пароля. Несмотря на то, что добавление кода в конце поможет вам запомнить пароль конкретного сервиса, в конечном итоге вам придется полностью изменить свои пароли. Если вы довольны своим текущим паролем, попробуйте ввести его, удерживая клавишу shift, или сделайте некоторые буквы заглавными.

    • Если вы заменили некоторые буквы цифрами, можете переключить эти буквы обратно, а цифры использовать для других букв.

Блок: 2/5 | Кол-во символов: 3975
Источник: https://ru.wikihow.com/%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D1%82%D1%8C-%D0%B7%D0%B0%D0%BF%D0%BE%D0%BC%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D0%B9%D1%81%D1%8F-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C

Безопасность пароля пользователя

Достигли ли мы предельного количества паролей?

Проведенное в Великобритании компании Experian, результаты которого она опубликовала года, выявило растущий разрыв между поколениями в том, как люди управляют своими учетными записями. Миллениалы подвергаются большему риску хищения персональных данных, поскольку ставят удобство выше безопасности. Различные возрастные группы по-разному ведут себя в Сети: одни готовы испытывать неудобства, но чувствовать себя защищенными, другие пренебрегают мерами безопасности, не желая выходить из «зоны комфорта».

Исследование Experian в очередной раз продемонстрировало, что люди разных поколений имеют свои особенности использования интернета и управления учетными записями, паролями и логинами, — отметила Наталия Фролова, директор по маркетингу Experian в России и странах СНГ. — Младшее поколение ставит во главу угла удобство и, как правило, имеет не более 5 уникальных паролей для всех своих аккаунтов. Кроме того, такие пользователи обычно заходят во множественные аккаунты с помощью одного и того же логина социальной сети. При этом они, вероятно, не осознают, что стремление к удобству подвергает риску их личную информацию. Отмечается стремительный рост хищений персональных данных, жертвами которых становятся представители именно этой возрастной группы.


Более половины (55%) респондентов используют один и тот же пароль для нескольких учетных записей. Фото:www.techregar.com

Как показывают статистические данные системы Hunter от Experian, в Британии каждый год на 5% возрастает количество жертв хищения персональных данных среди пользователей в возрасте до 30 лет, причем особенно уязвимы те, кто проживает в разных типах общежитий, где одним устройством для выхода в интернет постоянно пользуются сразу несколько человек. В Британии в отношении этой группы совершается каждое третье мошенничество, связанное с хищением персональных данных.

Противоположную линию поведения выбрало старшее поколение. Представители этой категории гораздо чаще создают отдельный пароль для каждой учетной записи, заботясь о защите данных, пусть даже в ущерб своему удобству. Каждый четвертый британец сообщил, что использует 11 или более паролей.

Безусловно, такой объем информации сложно постоянно держать в памяти, отметили в Experian. Неудивительно, что значительная часть людей старше 55 лет вынуждена прилагать большие усилия, чтобы запомнить свои регистрационные данные. Такое перенапряжение памяти — растущая проблема: 4 из 10 опрошенных признались, что вынуждены пользоваться сервисом запоминания паролей, чтобы ничего не забыть. Постоянные напоминания о том, что пароли лучше не записывать, а помнить наизусть, способствуют повышению бдительности, но, одновременно, и увеличивают стресс. Более половины (55%) респондентов используют один и тот же пароль для нескольких учетных записей.

Исследование Experian также установило, что существует путаница в понимании того, что такое учетная запись — каждый третий респондент (31%) признался, что не знает этого, а еще 61% выбирали разные определения. Трое из пяти британцев (61%) не всегда понимают, с чем они выражают согласие, ставя «галочку» при регистрации нового профиля в интернете, а каждый девятый (11%) никогда этого не понимает.

Типичный британец имеет в среднем 26 учетных записей, или логинов, и от 6 до 10 регулярно используемых паролей, — добавила Наталия Фролова. — Сегодня удобство приобретает первостепенное значение для пользователей. Поэтому знакомый и часто вызывающий досаду процесс восстановления пароля, в котором для аутентификации нужно ответить на несколько «секретных вопросов», может потерять актуальность. Возможно, мы уже достигли предельного количества паролей.

Для предотвращения кражи персональных данных Experian рекомендует:

  • Не реагировать на телефонные звонки и электронные сообщения от неизвестных лиц.
  • Создать отдельные пароли для разных учетных записей — в особенности для электронной почты и интернет-банка.
  • Придумать надежные пароли, состоящие из трех произвольных слов — можно составить их, добавляя цифры и символы, а также буквы в верхнем и нижнем регистре.
  • При использовании общедоступных сетей Wi-Fi не заходить на сайты, где нужно вводить пароль (например, в свой банк, социальные сети и электронную почту) и не вводить личную информацию, такую как реквизиты банковской карты.
  • Всегда загружать новейшее программное обеспечение на телефон, планшет или компьютер. Это увеличит вашу защиту от вредоносных программ.

Кража паролей – главный риск безопасности корпоративных данных

Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.

Кража паролей – главный риск безопасности корпоративных данных. Об этом предупреждают летом 2014 года эксперты антивирусной компании ESET (Словакия). 76% сетевых атак на компании стали возможны из-за ненадежных или украденных паролей (Министерство предпринимательства, инноваций и ремесел Великобритании (Department for Business, Innovation and Skills) и PWC). Средний ущерб от потери информации зависит от типа атаки и действующего законодательства в области защиты данных и достигает 199 евро за одну учетную запись. При этом такие параметры как простои в работе персонала, снижение производительности, репутационные потери и утрата активов, в том числе, объектов интеллектуальной собственности, не поддаются исчислению (Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis).

В центре внимания киберпреступников – компании малого и среднего бизнеса. Они не всегда являются основной мишенью, но часто становятся жертвами из-за имеющихся нарушений системы безопасности. По некоторым данным, 67% кибератак направлены на малые компании, при этом 76% атак являются незапланированными. 75% атак предпринимается преступниками ради финансовой выгоды (Verizon Data Breach Report, 2013).

66% нарушений системы безопасности компании могут месяцами оставаться незамеченными, подвергая риску корпоративную информацию. В числе наиболее распространенных «дыр» в защите – проблемы с паролями: 61% пользователей используют один и тот же пароль, а 44% – меняют пароль только раз в год (CSID Customer Survey: Password Habits 2012).

Пароли, составленные по правилам грамматики, легко взломать

Ис­сле­до­ва­те­ли из уни­вер­си­те­та Кар­не­ги-Мел­ло­на раз­ра­бо­та­ли экс­пе­ри­мен­таль­ный ал­го­ритм под­бо­ра па­ро­ля, ис­поль­зу­ю­щий грам­ма­ти­че­ские пра­ви­ла, и про­ве­ри­ли его эф­фек­тив­ность на 1400 с лиш­ним па­ро­лях дли­ной в 16 и более сим­во­лов. При­мер­но 18% из этих па­ро­лей было со­став­ле­но из несколь­ких слов, объ­еди­нен­ных по пра­ви­лам грам­ма­ти­ки в ко­рот­кую фразу. Хотя такие па­ро­ли легче за­пом­нить, на­ли­чие струк­ту­ры су­ще­ствен­но огра­ни­чи­ва­ет число воз­мож­ных со­че­та­ний и об­лег­ча­ет также и за­да­чу взло­ма, ука­зы­ва­ют исследователи.

Длина па­ро­ля сама по себе не может ха­рак­те­ри­зо­вать его на­деж­ность. Слож­ность взло­ма двух па­ро­лей оди­на­ко­вой длины может от­ли­чать­ся на по­ря­док в за­ви­си­мо­сти от их грам­ма­ти­че­ской струк­ту­ры. На­при­мер, ме­сто­име­ний в языке мень­ше, чем гла­го­лов, при­ла­га­тель­ных и су­ще­стви­тель­ных, и по­это­му па­роль Shehave3cats, на­чи­на­ю­щий­ся с ме­сто­име­ния She, го­раз­до сла­бее, чем Andyhave3cats, на­чи­на­ю­щий­ся с имени Andy.

Ис­сле­до­ва­те­ли учли хо­ро­шо из­вест­ные воз­мож­но­сти за­ме­ны букв по­хо­жи­ми циф­ра­ми, из­ме­не­ния ре­ги­стра и до­бав­ле­ния в конце зна­ков пре­пи­на­ния. Они тоже не столь за­мет­но по­вы­ша­ют на­деж­ность па­ро­лей, как утвер­жда­ют неко­то­рые, счи­та­ют авторы.

Для большинства сайтов лучше использовать простые пароли

Все мы не раз слышали, что для любой учетной записи следует определять уникальные и сложные пароли, используя для их хранения специальную утилиту. Однако исследователи из Microsoft Research пришли к выводу, что такой подход может оказаться неверным (данные лета 2014 года). На первый взгляд, общепринятые рекомендации выглядят вполне логично.

При использовании для каждого сайта и сервиса длинных и сложных паролей, состоящих из случайных комбинаций символов, вероятность их взлома резко снижается, а в случае компрометации пароля под угрозой оказывается лишь одна учетная запись. Запомнить случайную последовательность из 10-20 символов довольно сложно, и тут на помощь приходят утилиты управления паролями, позволяющие хранить их все в одном месте. Все просто. На практике же большинство людей игнорируют сложные пароли, не говоря уже об использовании уникального пароля для каждого сайта и сервиса. При масштабных утечках мы видим, что мало кто следует рекомендациям по выбору пароля. Отношение к утилитам управления паролями тоже весьма скептическое. Ведь забыв пароль от утилиты, вы лишаетесь сразу всех своих паролей, а при взломе соответствующей программы или сервиса злоумышленник получает доступ ко всей вашей информации в полном объеме. Поэтому исследователи предлагают использовать простые пароли на сайтах, где хранятся данные, не представляющие особой ценности, а сложные пароли оставить для банковских учетных записей. Решать вам. Если вопреки рекомендациям экспертов по безопасности вы продолжаете сплошь и рядом использовать простые пароли, возможно, имеет смысл придерживаться именно такого подхода.

Блок: 3/13 | Кол-во символов: 9589
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Советы


  • Если, печатая буквы или цифры, вы будете их проговаривать, то почувствуете ритм, и вам будет проще их запомнить.
  • Можно объединить несколько из этих методов и все же придумать действительно запоминающуюся, но очень сильную фразу для пароля.
  • Самые надежные пароли содержат строчные буквы, заглавные буквы, цифры и символы. Заведите привычку зажимать клавишу shift, когда вводите первые 4 символа или символы от 3 до 7, или какие-нибудь другие, и тогда вам не придется останавливаться и вспоминать пароль.
  • Придумывая мнемоническое предложение, постарайтесь сделать его смешным или значимым для вас. Так вам будет проще запомнить предложение и пароль.

Блок: 3/5 | Кол-во символов: 660
Источник: https://ru.wikihow.com/%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D1%82%D1%8C-%D0%B7%D0%B0%D0%BF%D0%BE%D0%BC%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D0%B9%D1%81%D1%8F-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C

Взлом и стоимость компьютерных паролей

Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.

Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.

Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.

При этом могут быть использованы следующие подходы:

  • Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
  • Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
  • Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.

Для проведения атаки разработано множество инструментов, например, John the Ripper.

Подробнее смотрите Расценки пользовательских данных на рынке киберпреступников

Блок: 4/13 | Кол-во символов: 1409
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Предупреждения

  • Не используйте пароли, которые приведены в качестве примеров на сайте! Кто-то тоже может это увидеть и разгадать ваш пароль. Придумайте собственный!
  • Не используйте числа, которые где-то зарегистрированы, например, номер телефона, адрес и номер социального страхования (если он у вас есть).
  • Не используйте пароли повторно. Может возникнуть соблазн использовать только один или два пароля для всех учетных записей, однако у вас должны быть отдельные пароли для всех сервисов, и особенно для всего, что связано с личной или финансовой информацией.

Блок: 4/5 | Кол-во символов: 583
Источник: https://ru.wikihow.com/%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D1%82%D1%8C-%D0%B7%D0%B0%D0%BF%D0%BE%D0%BC%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D0%B9%D1%81%D1%8F-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C

Критерии стойкости пароля


Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.

  • Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
  • Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
  • Пароль не должен состоять только из общедоступной информации о пользователе.

В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.


Microsoft провела летом 2014 года исследование систем безопасности и выяснила, что лучше всего использовать короткие и простые пароли для сайтов, не хранящих личную информацию. Длинными и сложными паролями следует защищать свои учетные записи на web-ресурсах, содержащие банковские данные, имена, фамилии, пароли и т.д.

Повторное использование пароля является табу для специалистов по безопасности в последние годы после огромного количества кибервзломов и утечек личных данных. Рекомендации специалистов кажутся достаточно логичными.

Хакеры, располагая адресами электронной почты и паролями, могли использовать эти учетные данные в отношении других сайтов, чтобы получить к ним незаконный доступ. В свою очередь, повторное использование пароля на сайтах с низкой степенью защиты от кибервзломов необходимо для того, чтобы пользователи могли вспомнить уникальные коды, выбранные для более серьезных ресурсов. Специалисты Microsoft все же рекомендуют пользователям использовать простые пароли на бесплатных сайтах, не содержащих важную информацию. Лучше всего, говорят ИТ-эксперты, `попридержать` длинные и уникальные пароли для банковских сайтов и других хранилищ конфиденциальной информации.

Пароли как белье: меняйте их регулярно и не показывайте на публике

  • Создавайте разные пароли для разных учетных записей. Если вы используете одни и те же учетные данные для входа в разные учетные записи, то несанкционированный доступ даже в одну из них ставит под угрозу все остальные.
  • Не сообщайте никому свои пароли. Пароль — это секретное слово или фраза по определению, поэтому хорошо подумайте, прежде чем передавать его кому-либо.
  • Регулярно меняйте пароли. Даже если вы используете надежный пароль, меняйте его регулярно. Вы можете не сразу заметить несанкционированный доступ к своей учетной записи, поэтому регулярно меняйте пароли, а лучше создайте график их изменения, чтобы не забывать об этом!
  • Не используйте в паролях информацию, связанную с вашей личностью. Множество надежных паролей трудно запомнить. Чтобы упростить запоминание паролей, многие пользователи используют в них значимые для себя имена и даты. Однако преступники могут использовать вашу публично доступную информацию и учетные записи в социальных сетях для получения этих данных и разгадывания паролей.
  • Используйте двухфакторную аутентификацию. Хотя создание надежных паролей — лучший первый шаг к безопасности, добавить дополнительный слой защиты в виде двухфакторной аутентификации никогда не помешает. В этом случае пароль дополняется еще одним условием. Часто это код безопасности, высылаемый на мобильное устройство пользователя, и без этого кода выполнить вход в учетную запись невозможно.

Цифры и регистр не делают пароль надежнее

Ученый из Университета Глазго со своим коллегой из исследовательской лаборатории Symantec выяснили, что цифры и символы верхнего регистра не делают пароль более надежным. Результаты опубликованы осенью 2015 года в сборнике ACM CSS 2015.

Исследователи использовали интеллектуальные алгоритмы, которые предварительно были обучены на базе данных, представляющей 10 млн паролей, имеющихся в сети в открытом виде. Далее они проверили эффективность алгоритмов на 32 млн других паролей. Выяснилось, что цифры и символы верхнего регистра не позволяют усложнить пароль. Такого эффекта можно достичь удлинением пароля или использованием специальных символов.

Исследователи говорят, что люди обычно используют символы верхнего регистра в начале своего пароля, а цифры — в конце. По словам авторов, чтобы сделать пароль более надежным, необходимо удлинить его и добавить специальные символы.

Методы защиты от атаки

Методы защиты можно разделить на две обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.

Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.

Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.

Блок: 5/13 | Кол-во символов: 5353
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Информация о статье

Компьютеры и электроника

На других языках:

English: Create a Password You Can Remember, Français: créer un mot de passe facile à retenir, Italiano: Creare una password facile da Ricordare, Español: crear una contraseña que puedas recordar, Português: Criar uma Senha que Você Possa Lembrar, Deutsch: Ein Passwort erstellen, an das du dich gut erinnern kannst, 中文: 设置一个好记的密码, Nederlands: Een wachtwoord bedenken dat je makkelijk kunt onthouden, Čeština: Jak si vytvořit heslo, které si zapamatujete, Bahasa Indonesia: Membuat Kata Sandi yang Dapat Anda Ingat, العربية: إنشاء كلمة مرور يمكنك تذكرها

  • Печать
  • Править

Эту страницу просматривали 16 762 раз.

Блок: 5/5 | Кол-во символов: 845
Источник: https://ru.wikihow.com/%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D1%82%D1%8C-%D0%B7%D0%B0%D0%BF%D0%BE%D0%BC%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D0%B9%D1%81%D1%8F-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C

Генерация пароля

В Unix-подобных операционных системах можно использовать утилиту pwgen. Например

pwgen 10 1

сгенерирует 1 пароль длиной 10 символов.

Блок: 6/13 | Кол-во символов: 151
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Методы передачи пароля через сеть


Простая передача пароля

Пароль передаётся в открытом виде. В этом случае он может быть перехвачен при помощи простых средств отслеживания сетевого трафика.

Передача через зашифрованные каналы

Риск перехвата паролей через Интернет можно уменьшить, помимо прочих подходов, с использованием Transport Layer Security TLS, которая ранее называлась SSL, такие функции встроены во многие браузеры Интернета.

Базирующийся на хешах

Пароль передается на сервер уже в виде хэша (например, при отправке формы на web-странице пароль преобразуется в md5-хэш при помощи JavaScript), и на сервере полученный хэш сравнивается с хэшем, хранящимся в БД. Такой способ передачи пароля снижает риск получения пароля при помощи сниффера.

Блок: 7/13 | Кол-во символов: 752
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Секретный вопрос? Стоит ли его применять?

Безусловно! Конечно, можно сказать, что концепция вопросов безопасности имела смысл, когда они использовались в далеких 90-х годах, когда ответы на вопросы не лежали на поверхности в таком явном виде, как сейчас, и отвечали лицом к лицу. Но теперь они смехотворны, когда любой человек, может изучить Ваш профиль в социальной сети и узнать, если не все, то многое, то такие вопросы, как: где Вы родились, девичья фамилия матери, номер школы, или кличка питомца теряют смысл и угрожают безопасности. В связи с такой прозрачностью, не стоит давать явные ответы на вопрос. Вместо этого вы можете выбрать неправильные и необычные ответы. Кличка питомца? Лотос555, Девичья фамилия матери? Ялюблюкнигиимаму. Это хорошая возможность еще больше укрепить защиту данных.

Так же можете посмотреть, короткое видео от «Kaspersky Lab Russia» о том, как выбрать хороший пароль:

Блок: 7/8 | Кол-во символов: 913
Источник: http://withsecurity.ru/kak-pridumat-nadezhnyj-parol-i-zapomnit-ego

Помните, что нет совершенной защиты

Технология безопасности — это постоянная борьба, между хакерами и обычными пользователями. С каждым днем мы адаптируемся, но и хакеры не дремлют. Пароли позволят сохранить информацию и данные, но не гарантируют это. Они могут быть украдены, двухфакторные тексты могут быть перенаправлены, ключи могут быть скопированы. Идет постоянное движение, главное не останавливаться. Вы должны выбрать сильный пароль, но при этом, не нужно забывать и других возможных вариантах для обеспечения безопасности. Использование более сильных и надежный паролей не будет защищать Вас от всех угроз, но это хороший первый шаг.

Блок: 8/8 | Кол-во символов: 645
Источник: http://withsecurity.ru/kak-pridumat-nadezhnyj-parol-i-zapomnit-ego

Правила управления паролями пользователей

Общие методы повышения безопасности программного обеспечения систем защищенных паролем включают:

  • Ограничение минимальной длины пароля (некоторые системы Unix ограничивают пароли 8 символами).
  • Требование повторного ввода пароля после определенного периода бездействия.
  • Требование периодического изменения пароля.
  • Назначение стойких паролей (генерируемых с использованием аппаратного источника случайных чисел, либо с использованием генератора псевдослучайных чисел, выход которого перерабатывается стойкими хэш-преобразованиями).

Для собственной безопасности пользователь должен учитывать несколько факторов при составлении пароля:

  • по возможности его длина должна быть больше 8 символов;
  • в составе пароля должны отсутствовать словарные элементы;
  • должны использоваться не только нижний, но и верхний регистры;
  • пароль должен состоять из цифр, букв и символов;
  • пароль должен отличаться от логина (имени пользователя);
  • при регистрации на каждом новом сайте пароль должен меняться

Блок: 9/13 | Кол-во символов: 1031
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Что можно использовать вместо пароля

Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе.

  • Одноразовые пароли
  • Биометрия
  • Технология единого входа
  • OpenID

Распознавание подписи – надежная замена паролям?

Всякий раз, когда Вы платите по банковской карте или вынуждены подписывать цифровой экран электронным карандашом, для подтверждения Вашей личности используются системы распознавания подписи. В этом случае система сравнивает Вашу подпись с тем образцом подписи, который хранится в банковской системе.

Однако это не простое сравнение двух картинок. Специальная программа безопасности не только размещает две картинки рядом друг с другом, чтобы проверить, совпадают ли они, или, по крайней мере, похожи ли они. На самом деле, система распознавания подписи сравнивает способ создания этих двух изображений, осуществляя поиск одинакового поведенческого шаблона.

Преимущества и недостатки

Хотя может показаться, что подделать подпись достаточно просто, тем не менее, практически невозможно повторить скорость написания и оказываемое при этом давление. Так что, системы распознавания подписи, использующие самые передовые технологии, становятся идеальной заменой для паролей в операциях, например, с корпоративными банковскими счетами.

Впрочем, как и у всех других методов идентификации, и здесь имеются свои минусы. Один из главных недостатков заключается в том, что в силу целого ряда причин каждый из нас может подписываться по-разному, и это серьезная проблема. Чтобы система была практичной, важно уметь отличать, например, медленно сделанную подпись в результате какой-то травмы или в результате попытки подделать ее.

Кроме того, как минимум в настоящее время это не совсем эффективный способ доступа к сервисам. В самом деле, когда Вы подписываете что-то при оплате за что-то, эти данные не используются в реальном времени. Вместо этого, данные отправляются в Ваш банк, где будут проверены позже.

Однако наличие недостатков в системах распознавания подписей все равно не закрывает двери перед этой технологией. Вполне вероятно, что будущие корпоративные банковские операции будут разрешаться просто по подписи на планшете или смартфоне.

Пароли на основе смайликов

По данным лета 2015 года Британская компания Intelligent Environments утверждает, что изобрела способ использовать ряд из смайликов, картинок выражения эмоций, который заменит цифровой PIN-код на смартфоне, чтобы наш мозг смог легче запомнить данную последовательность, ведь люди легче запоминают осознанный ряд картинок. Использование «эмоционального» ПИН-кода основано на эволюционной способности людей помнить изображения. Кроме того, увеличенная сложность такого метода усложняет подбор ПИН-кода.

Традиционный четырехзначный ПИН — это четыре цифры от 0 до 9 с повторениями — всего 104 или 10 000 повторений. Число «эмоциональных картинок» равно 444 или 3 748 096, что, согласитесь, куда больше.

Стоит отметить, что данная технология — это, скорее всего, будущее, причем достаточно далекое.

Блок: 10/13 | Кол-во символов: 3137
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

История паролей

Пароли использовались с древнейших времён. Полибий (201 до н. э.) описывает применение паролей в Древнем Риме следующим образом:

То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль — деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему.

Пароли использовались в компьютерах с первых их дней. CTSS от MIT была одна из первых открытых систем, появившись в 1961 г. Она использовала команду LOGIN для запроса пароля пользователя.

Роберт Моррис предложил идею хранения паролей в хэш-форме для операционной системы UNIX. Его алгоритм, известный как crypt, использует 12-битный salt и связывается для изменения формы с алгоритмом DES, в 25 раз снижая риск перебора по словарю.

Блок: 11/13 | Кол-во символов: 1068
Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8

Кол-во блоков: 25 | Общее кол-во символов: 45414
Количество использованных доноров: 4
Информация по каждому донору:

  1. http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D0%B8: использовано 9 блоков из 13, кол-во символов 31354 (69%)
  2. https://hrdco.org/featured/paroli-i-ih-mesto-v-sisteme-bezopasnosti-kak-sozdat-i-zapomnit-nadezhnyj-parol/: использовано 3 блоков из 5, кол-во символов 4508 (10%)
  3. https://ru.wikihow.com/%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D1%82%D1%8C-%D0%B7%D0%B0%D0%BF%D0%BE%D0%BC%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D0%B9%D1%81%D1%8F-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C: использовано 4 блоков из 5, кол-во символов 6063 (13%)
  4. http://withsecurity.ru/kak-pridumat-nadezhnyj-parol-i-zapomnit-ego: использовано 6 блоков из 8, кол-во символов 3489 (8%)


Поделитесь в соц.сетях:

Оцените статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...

Добавить комментарий

Ваш e-mail не будет опубликован.