Если есть что-то, что люди ассоциируют с современными технологиями, так это пароли. Они повсюду, и большинство из нас ежедневно использует их для десятков дел. Тем не менее, большинство людей поразительно безразличны к безопасности своих паролей. Большинство из нас, вероятно, знают кого-то, кто использует тот же пароль для все, со своего компьютера и электронной почты на свой Facebook и банковский счет — и этот пароль может быть чем-то столь же очевидным, как день рождения или название улицы, на которой они выросли. И мы также, вероятно, знаем кого-то, у кого на боку монитора есть стикер с надписью «Пароли» (в красным, с двойным подчеркиванием) со списком всего, от Твиттера до Нетфликса, просто лежащего в открытом доступе для всех читать.
Эти практики могут звучать как что-то из поколения наших бабушек и дедушек, но это не совсем так: на прошлой неделе я смотрел полноправный представитель поколения D, пытающийся перейти с Samsung Galaxy S (эм, Fascinate) на HTC Rezound с помощью своего ноутбука. компьютер. Как он перемещал все свои пароли? У него в кошельке была бумажка со «всеми его паролями» — и
все он имел в виду три. Один для электронной почты и социальных сетей, один для электронной почты его двоюродной бабушки («Я проверяю его для нее») и еще один для всего остального. Глядя через плечо, все три слова были обычными словами: мофандл,бормотание, и Лилиан. Угадайте, кто принадлежал его тете?Рекомендуемые видео
К счастью, есть простые способы сделать пароли одновременно трудными для угадывания и легкими для запоминания. К сожалению, технологическая индустрия иногда мешает их использованию. Вот краткое изложение распространенных слабых мест в паролях и некоторые способы улучшить ваши пароли и вашу безопасность в Интернете.
Неясность против сложности
Распространенная истина о паролях состоит в том, что они должны никогда быть легко догадаться. Большинство технически подкованных людей согласны с тем, что никто не должен использовать информацию о себе в качестве пароля: дни рождения, адреса и имена друзей и членов семьи (включая родителей, братьев и сестер, супругов, детей и даже домашних животных). Сходным образом, пароль делает исключительно плохой пароль — как и все другие часто используемые одноразовые пароли.
Этот вечный совет часто интерпретируется как означающий, что пароли должны быть затемнять, или термин, который никто никогда бы не подумал, что вы выберете, если бы у них был миллион лет. Да, неясность может сработать — и это чертовски лучше, чем подбор очевидного пароля. Однако малоизвестный пароль защищает вас только от людей, которые что-то о вас знают. Скорее всего, большинство людей пытаются взломать ваши пароли. не знаю тебя.
В большинстве случаев взлом паролей происходит не так, как это изображается в фильмах, где Наш герой (или Злодей) сидит за клавиатурой, пробует одну-две фразы, трет подбородок, а затем подглядывает за детским фото. парта. Ага! Введите волшебное слово и престо, безопасность обошла. В реальном мире подавляющее большинство взломов паролей автоматизировано, и компьютеры буквально бросая каждое слово в словаре (а затем и некоторые) в систему в надежде наткнуться на правильный термин. Этот подход может работать, потому что компьютеры могут пробовать пароли гораздо быстрее, чем люди могут их набирать, и они могут работать 24 часа в сутки, семь дней в неделю, без перерывов на туалет. Автоматические взломщики паролей ничего не знают о пользователях, которых они пытаются скомпрометировать: это метод грубой силы.
Получается, что ключ к надежному паролю — не его неизвестность но это сложность — вещи, которые снижают вероятность того, что автоматический взломщик паролей угадает его. Тем не менее, чтобы создать хороший сложный пароль, нужно немного знать, как пароли взламываются.
Взлом паролей
В общих чертах у взломщиков паролей обычно есть два подхода. Один из них — буквально попробовать предварительно составленный список возможных паролей. Обычно они начинаются с очень распространенных паролей (например, пароль или qwerty) и перейти к менее распространенным терминам и, в конечном итоге, использовать список слов, составленный из онлайн-словаря и других источников. Этот подход с большей вероятностью найдет пароли, которые являются допустимыми словами или их вариантами, даже если они неясны.
Другой подход к взлому пароля состоит в том, чтобы попробовать допустимые последовательности букв, цифр и символов, независимо от их значения. Взломщик паролей, использующий этот подход, может начать с аааааааа для восьмизначного пароля, затем попробуйте аааааааб затем ааааааак и так далее вверх по алфавиту, за счет сочетания прописных и строчных букв и добавления цифр и символов. Этот подход с большей вероятностью найдет пароли, которые «удобны для машины» или сгенерированы случайным образом. Код доступа, например 4De78Hf1 не труднее найти этот путь, чем подросток было бы.
Итак, каковы шансы угадать пароль? В настоящее время большинство систем позволяют пользователям создавать пароли с использованием букв (верхнего и нижнего регистра), цифр и набора символов. Допустимые символы часто различаются в разных системах (некоторые разрешают почти все, другие — лишь некоторые), но для наших целей давайте предположим, что это означает, что каждый символ в пароле может быть одним из примерно 80 значений — два алфавита по 26 букв в каждом, десять цифр и 18 символы. (Теоретически для каждого символа должно быть доступно как минимум 127 значений, но на практике это число меньше.)
При использовании чисто грубой силы это означает, что для случайного определения односимвольного пароля потребуется не более 80 попыток. Пароль из четырех символов может потребовать более 40 миллионов попыток (80 × 80 × 80 × 80 = 40 960 000), а пароль из восьми символов — более 1,6 квадриллиона (1 677 721 600 000 000).
Если бы взломщик паролей мог угадывать 1000 раз в секунду, ему понадобилось бы около месяца, чтобы запустить все комбинации четырехсимвольного пароля, и более 53 000 попыток. годы для запуска всех комбинаций 8-символьного пароля. Это кажется довольно безопасным, верно?
Ну не совсем. С чисто статистической точки зрения, взломщик имеет 50/50 шансов найти пароль в половина то время. Что еще более тревожно, у людей, занимающихся взломщиками паролей, есть и другие способы улучшить свои шансы. Помните, как пароль был одним из худших паролей для использования? Угадайте, что также является очень плохим паролем? пароль, подставив цифру ноль вместо буквы О. В то время как взломщики паролей извлекают свои общие слова из словаря, они также пробуют общие варианты этих слов. слова, заменяя нули на O, знаки @ и 4 вместо A, 3 вместо E, 1 и! вместо I, 7 вместо T, 5 вместо S и скоро. Сходным образом, 0qww294e ужасный пароль — просто пароль сдвинут на одну строку вверх на стандартной английской клавиатуре. Эти методы основаны на предпочтениях пользователей в отношении легко запоминающихся паролей. К сожалению, заменяя (или используя заглавные буквы) один или два символа в легко запоминающемся термине, люди в основном делают свои пароли более неясными, но не намного более безопасными. На самом деле типичные выбранные пользователем восьмисимвольные пароли со смешанным регистром, числами и символами обычно имеют только около 30 бит энтропии, или немногим более миллиарда возможных комбинаций. Почему? Потому что список терминов, на которых люди основывают свои пароли, намного меньше, чем общее количество возможных комбинаций букв, цифр и символов.
Как быстро можно взломать пароли? Перебор 1000 паролей в секунду может показаться невозможным — в конце концов, большинство сервисов имеют тенденцию блокировать нас от наших собственных учетных записей, если мы неправильно ввести пароль три или четыре раза, часто сбрасывая пароль и требуя, чтобы мы ответили на контрольные вопросы, чтобы создать новый один. Эти техники «ворот» делать повысить безопасность учетной записи и, кстати, также являются отличным ослепляюще простым способом раздражать людей. (Я не могу сказать вам, сколько раз мой аккаунт в iTunes был заблокирован из-за взлома паролей, но, вероятно, больше сотни.)
Однако злоумышленники, намеревающиеся взломать пароли, не стучатся в переднюю дверь службы и не пытаются (буквально) миллионы раз войти в одну и ту же учетную запись. Они либо используют менее общедоступные методы аутентификации, которые не подлежат блокировке (например, частный API для партнеров или приложений), распространяя свои атаки на широкий спектр учетных записей, чтобы избежать периодов блокировки, или (в лучшем случае) применение методов взлома пароля к украденному паролю данные. Большинство систем шифруют данные паролей, которые они хранят, но эти зашифрованные файлы настолько же безопасны, как и сама система. Если злоумышленники смогут получить доступ к зашифрованному файлу паролей (через дыру в безопасности, скомпрометированную машина или социальная инженерия, для начала) они могут очень быстро атаковать ее, когда она сама по себе системы. Вот почему истории о злоумышленниках, получающих информацию об учетной записи (например, Стратфор, Эпсилон, Сони, и Заппос) настораживают. Как только зашифрованные данные будут извлечены, злоумышленники могут применить гораздо более мощные инструменты, чтобы взломать их.
В реальном мире это означает, что цифра в 1000 паролей в секунду крайне консервативна. Типичное настольное вычислительное оборудование в наши дни может тестировать миллионы паролей в секунду против распространенных технологий шифрования. Точно так же в настоящее время существуют инструменты для взлома паролей, использующие графические процессоры, и операторы криминальных ботнетов также занимаются взломом паролей. Они могут распределить рабочую нагрузку между тысячами компьютеров. Объедините эту грубую мощь с изощренными эвристиками (например, попробуйте варианты чисел и букв на общеупотребительные слова), и нет ничего необычного в том, чтобы взломать типичный восьмизначный пользовательский пароль менее чем за полминуты. час.
Стреляем себе в ногу
Выше мы отметили, что восьмизначный пароль, состоящий из прописных и строчных букв, цифр и символов, может занимать значительно больше времени. квадриллион возможных комбинаций, но большинство восьмисимвольных паролей, используемых сегодня, попадают в пул всего около миллиарда комбинации. Это потому, что люди не машины. Если компьютер довольствуется использованием либо черепаха или Y&4nS0\2 в качестве пароля, угадайте, какой легче запомнить человеку? Теперь угадайте, какой из них более безопасный.
Некоторые системы реализуют требования к паролям, призванные гарантировать, что пользователи не используют легко взломанные пароли. Обычный подход заключается в том, чтобы пароли пользователей содержали по крайней мере одну заглавную букву, одну цифру, один символ и имели длину не менее восьми символов. (Некоторые системы не предъявляют требований, но предлагают показатель «надежности пароля» как меру того, насколько эффективным, по их мнению, может быть пароль. быть.) Некоторые системы также требуют, чтобы пользователи меняли свои пароли время от времени (скажем, каждые 30 или 45 дней) и предотвращали повторное использование пароли.
Эти виды требований делать повышают безопасность паролей, но они также значительно усложняют запоминание паролей. Это означает, что значительная часть пользователей сразу же придумает способы подорвать безопасность системы для собственного удобства. Конечно, некоторые люди могут справиться с такими паролями, как 9.3nDs(# но многие другие люди собираются ответить наклеенными паролями стикерами по бокам мониторов, заметками в своих кошельки или документ Microsoft Word на своем рабочем столе с удобной пометкой «Пароли», чтобы они могли копировать и вставлять, когда необходимый. Требования к созданию пароля также имеют тенденцию снижать производительность и увеличивать затраты на поддержку (как для сотрудников, так и для сотрудников). клиентов), поскольку все больше людей забудут свои пароли или будут заблокированы в своих учетных записях, что потребует ручного вмешательство.
Создание сложных паролей
В таком случае Святым Граалем паролей может оказаться пароль, который сложный достаточно того, что взламывать с помощью автоматизированных методов нецелесообразно, но достаточно легко помнить, что пользователи не ставят под угрозу безопасность, храня или управляя ими небезопасно.
Вот несколько советов по созданию сложных, легко запоминающихся паролей:
- Используйте длинные пароли. Если восьмизначный пароль может иметь 1,6 квадриллиона возможных комбинаций, представьте, сколько может быть 16-значного пароля? (около 2,8 нониллиона, или 2,830.) Однако, что, возможно, более важно, набор значений для 16-символьного пароля с использованием общих терминов и вариаций составляет чуть менее 1,2 квинтиллиона, тогда как с восьмисимвольным кодом было чуть более миллиарда. пароль. Использование более длинных паролей — это самый простой способ сделать пароли более сложными и безопасными.
- Используйте комбинированные слова. Как сделать длинные пароли легко запоминаемыми? Одна из распространенных техник состоит в том, чтобы использовать серию из трех-пяти простых, несвязанный условия. Как правило, их так же легко запомнить, как и PIN-коды; когнитивно люди склонны запоминать целые слова как отдельные единицы. Однако эти пароли могут быть очень сложными, по крайней мере, с точки зрения взлома паролей. И эти пароли легко составить, просто осмотревшись или перевернув книгу на случайную страницу. Взглянув налево в окно, я вижу игрушечную лягушку, машину и окно чьей-то кухоньки. Новый пароль: ЛягушкаКолпакШкаф — это 18 символов, но нужно запомнить только три слова. Глядя вправо: БегунКамераКлейСтрока — четыре коротких слова, 22 символа. Я использовал заглавные буквы только для разделения слов. Добавление дополнительных символов или замен может увеличить сложность — просто не усложняйте пароль настолько, чтобы не стать жертвой слабости сложных паролей.
- Используйте фразы или тексты песен. Другой способ создания длинных паролей — использование частей фраз или текстов песен. Для лирики относительно обычные песни, пожалуй, лучше, чем особенно важные для вас: опять же, вы не хотите люди, которые хорошо вас знают, чтобы иметь возможность угадывать ваши пароли только потому, что вы большой поклонник Майкла Болтона (или нет). Примеры паролей, составленных из фаз или текстов песен, могут быть: Ты не Джек Кеннеди (19 символов), iShotaManinReno (15 символов), импипинандимкрипин (20 символов).
- Используйте мнемонику. Недостатком длинных паролей является то, что их сложно набирать, особенно на мобильном устройстве. Еще один трюк, который некоторые люди находят полезным для создания сложных коротких паролей, — это использование первого символа каждого слова во фразе или тексте. «Сколько дорог должен пройти человек» может стать ХммамвД— всего восемь символов, но относительно сложный с точки зрения программы для взлома паролей. Точно так же фраза «Встряхните, встряхните, как полароидную фотографию» может стать SiSiLapp - может быть, не отлично, но лучше, чем черепаха. Этот трюк также может помочь сгенерировать хорошие пароли для систем, в которых все еще есть ограничение на длину паролей.
Эти рекомендации обычно помогут вам придумать простые для запоминания сложные пароли. Конечно, при работе с системами паролей с требованиями к композиции (то есть они ожидают смешанный регистр, цифры или символы) вам все равно придется придумывать причудливые варианты паролей, чтобы выполнить эти требования. Просто помните, что с более длинными паролями вы можете делать свои замены и изменения в очевидных местах — обычно такие длинные пароли легче запомнить даже с требованиями, чем короткие, бессмысленные пароли.
Несколько других советов
Другие вещи, о которых следует помнить при выборе паролей:
- Используйте отдельные пароли для отдельных сервисов. Не используйте пароль социальной сети для онлайн-банкинга. Если пароль на одном сервисе скомпрометирован, остальные должны быть в безопасности.
- Тщательно выбирайте важные пароли. Системы единого входа могут быть чрезвычайно удобными, но они также создают единую точку отказа для нескольких служб. Примерами могут служить пароли к учетным записям в службах Google, Yahoo и Microsoft, где один взломанный пароль может дать кому-то доступ к электронной почте, документам, изображениям, социальным сетям, блогам, библиотекам фотографий, спискам контактов, адресным книгам и более. Точно так же с таким количеством сайтов (даже Цифровые тренды) при входе в Facebook и Twitter, скомпрометированный пароль социальной сети может иметь далеко идущие последствия.
- Измените свои пароли. Заманчиво думать, что если один из ваших паролей будет взломан, вы сразу узнаете: ваша электронная почта исчезнет, ваш блог стать набором лулз-графики, ваш список подарков на Amazon может быть заполнен неловкими вариантами, ваша учетная запись PayPal может быть очищена вне. Однако это не всегда так: если кто-то взломает ваш пароль, явного признака может не быть, по крайней мере, не сразу. Регулярно меняя свой пароль, вы гарантируете, что даже если кто-то взломает, его окно возможности использовать вас будет ограничено. Частота смены паролей зависит от того, как вы пользуетесь онлайн-сервисами. Для всего, что связано с реальными деньгами, я обычно рекомендую пользователям менять свои пароли каждые 30–90 дней — чем больше денег, тем чаще.
Ни один пароль не является безопасным
Возможно, самое важное, что нужно помнить о паролях, это то, что любой пароль можно взломать: вопрос лишь в том, сколько времени и усилий кто-то готов вложить в это. Приведенные здесь советы помогут снизить вероятность того, что ваши пароли будут взломаны случайными злоумышленниками и даже друзьями и родственниками, но ни один пароль не является полностью безопасным. Если безопасный доступ к службе очень важен для вас, рассмотрите возможность изучения различных форм многофакторной аутентификации, чтобы еще больше снизить вероятность несанкционированного доступа.
Кредит изображения: Шаттерсток / джемдизайн / Татьяна Попова / Педро Мигель Соуза
Рекомендации редакции
- Эти смущающие пароли взламывали знаменитостей
- Нет, 1Password не взломали — вот что произошло на самом деле
- Как защитить паролем папку в Windows и macOS
- LastPass раскрывает, как его взломали — и это плохие новости
- Reddit был взломан — вот как настроить 2FA для защиты вашей учетной записи
