Если есть что-то, что у людей ассоциируется с современными технологиями, так это пароли. Они повсюду, и большинство из нас используют их для десятков вещей каждый день. Тем не менее, большинство людей шокирующе безразличны к безопасности своих паролей. Большинство из нас, вероятно, знают кого-то, кто использует тот же пароль для все, со своего компьютера и электронной почты на свои Facebook и банковские счета — и этот пароль может быть таким же очевидным, как их день рождения или название улицы, на которой они выросли. И мы также, вероятно, знаем кого-то, у кого на мониторе есть наклейка с надписью «Пароли» (в красный, дважды подчеркнутый) со списком всего, от Твиттера до Netflix, который просто лежит в открытом доступе для любого читать.
Эти практики могут звучать как что-то из поколения наших бабушек и дедушек, но это не совсем так: на прошлой неделе я смотрел полноценный представитель поколения D, пытающийся перейти с Samsung Galaxy S (э-э, Fascinate) на HTC Rezound через свой ноутбук компьютер. Как он переносил все свои пароли? В бумажнике у него был листок бумаги со «всеми его паролями».
все он имел в виду три. Один для электронной почты и социальных сетей, один для электронной почты его двоюродной бабушки («Я проверяю это для нее») и еще один для всего остального. Глядя через его плечо, все три слова были повседневными: мофандл,бормотатель, и Лилиан. Угадайте, какой был у его тети?Рекомендуемые видео
К счастью, есть простые способы сделать пароли одновременно трудными для подбора и легкими для запоминания. К сожалению, технологическая индустрия иногда мешает их использованию. Вот краткое изложение распространенных недостатков паролей и некоторых способов улучшить свои пароли и безопасность в Интернете.
Неясность против сложности
Общая истина о паролях заключается в том, что они должны никогда быть легко угадать. Большинство технически подкованных людей согласны с тем, что никто не должен использовать информацию о себе в качестве пароля. дни рождения, адреса и имена друзей и членов семьи (включая родителей, братьев и сестер, супругов, детей и даже домашние животные). Сходным образом, пароль создает исключительно плохой пароль — как и все остальные часто используемые одноразовые пароли.
Этот вечнозеленый совет часто интерпретируется как означающий, что пароли должны быть затемнять, или термин, который никто бы никогда не подумал, что вы выбрали бы, если бы у них был миллион лет. Да, неясность может сработать — и это чертовски лучше, чем выбор очевидного пароля. Однако неясный пароль защитит вас только от людей, которые что-то о вас знают. Скорее всего, большинство людей пытаются взломать ваши пароли. не знаю тебя.
В большинстве случаев взлом паролей происходит не так, как это показано в фильмах, где «Наш герой» (или злодей) сидит за клавиатурой, пробует пару фраз, потирает подбородок, затем замечает детскую фотографию парта. Ага! Введите волшебное слово и престо, безопасность обошла. В реальном мире подавляющее большинство взломов паролей автоматизировано, и компьютеры буквально бросая каждое слово в словаре (а затем и некоторые) в систему в надежде наткнуться на правильный термин. Этот подход может сработать, поскольку компьютеры могут пробовать пароли гораздо быстрее, чем люди могут их набирать, и они могут работать 24 часа в сутки, семь дней в неделю, без перерывов в туалет. Автоматические взломщики паролей ничего не знают о пользователях, которых пытаются скомпрометировать: это метод грубой силы.
Итак, оказывается, что ключ к надежному паролю не в этом. безвестность но это сложность — вещи, которые снижают вероятность того, что автоматический взломщик паролей угадает. Однако для создания хорошего сложного пароля необходимо немного знать, как взламываются пароли.
Взлом паролей
В общих чертах, взломщики паролей обычно используют два подхода. Один из них — буквально попробовать заранее составленный список возможных паролей. Обычно они начинаются с очень распространенных паролей (например, пароль или qwerty) и переходить к менее распространенным терминам и, в конечном итоге, использовать список слов, составленный из онлайн-словаря и других источников. Этот подход с большей вероятностью позволит найти пароли, которые являются действительными словами или их вариантами, даже если они неясны.
Другой подход к взлому пароля — попробовать действительные последовательности букв, цифр и символов, независимо от их значения. Взломщик паролей, использующий этот подход, может начать с аааааааа для восьмизначного пароля, затем попробуйте аааааааб затем ааааааак и так далее по алфавиту, смешивая прописные и строчные буквы, добавляя цифры и символы. Этот подход с большей вероятностью позволит найти пароли, «удобные для машин» или сгенерированные случайным образом. Код доступа, например 4Де78Хф1 найти этот способ не сложнее, чем подросток было бы.
Итак, какова вероятность того, что пароль будет угадан? Большинство современных систем позволяют пользователям создавать пароли, используя буквы (прописные и строчные), цифры и набор символов. Допустимые символы часто различаются в разных системах (некоторые допускают почти всё, другие — лишь некоторые), но для наших целей давайте Предположим, это означает, что каждый символ в пароле может иметь одно из примерно 80 значений — два алфавита по 26 букв в каждом, десять цифр и 18 символов. символы. (Теоретически для каждого символа должно быть доступно не менее 127 значений, но на практике это меньшее число.)
Если использовать метод просто грубой силы, это означает, что для случайного подбора односимвольного пароля потребуется максимум 80 попыток. Четырехзначный пароль может потребовать более 40 миллионов попыток (80 × 80 × 80 × 80 = 40 960 000), а восьмизначный пароль может потребовать более 1,6 квадриллиона попыток (1 677 721 600 000 000).
Если бы взломщик паролей мог делать 1000 попыток в секунду, ему потребовалось бы около месяца, чтобы проверить все комбинации четырехсимвольного пароля, и более 53 000 годы для запуска всех комбинаций 8-значного пароля. Это кажется довольно безопасным, не так ли?
Ну не совсем. С чисто статистической точки зрения, вероятность того, что взломщик найдет пароль, составляет 50/50. половина то время. Еще более тревожно то, что у людей, создающих взломщики паролей, есть другие способы улучшить свои шансы. Помните, как пароль был ли один из худших паролей? Угадайте, какой еще очень плохой пароль? Пароль, заменив цифру ноль на букву О. В то время как взломщики паролей используют свои общие слова из словаря, они также пробуют общие варианты этих слов. слов, заменяя нулями буквы О, знаки @ и четверки вместо А, тройки вместо Е, 1 и! вместо И, 7 вместо Т, 5 вместо S и скоро. Сходным образом, 0qww294e это ужасный пароль — вот только пароль сдвинут на одну строку вверх на стандартной английской клавиатуре. Эти методы основаны на предпочтении пользователей легко запоминающимся паролям. К сожалению, заменяя (или записывая заглавными буквами) один или два символа в легко запоминающийся термин, люди в большинстве случаев делают свои пароли более неясными, но не намного более безопасными. Фактически, типичные восьмизначные пароли, выбираемые пользователем, со смешанным регистром, цифрами и символами обычно имеют только около 30 бит энтропии или чуть более миллиарда возможных комбинаций. Почему? Потому что список терминов, на которых люди основывают свои пароли, намного меньше, чем общее количество возможных комбинаций букв, цифр и символов.
Как быстро могут быть взломаны пароли? Попробуйте ввести 1000 паролей в секунду может показаться невозможным — в конце концов, большинство сервисов имеют тенденцию блокировать нас от наших собственных учетных записей, если мы ошибитесь в пароле три или четыре раза, часто сбрасывая пароль и требуя от нас ответить на контрольные вопросы, чтобы создать новый один. Эти «шлюзовые» методы делать улучшить безопасность учетной записи и, кстати, также являются отличным и невероятно простым способом раздражать людей. (Я не могу сказать вам, сколько раз мою учетную запись iTunes блокировали из-за взлома пароля, но, вероятно, их больше сотни.)
Однако злоумышленники, намеревающиеся взломать пароли, не стучатся в парадную дверь службы и не пытаются (буквально) миллионы раз войти в одну и ту же учетную запись. Они либо используют менее публичные методы аутентификации, которые не подлежат блокировке (например, частный API для партнеров или приложений), распространяя свои атаки на широкий спектр учетных записей, чтобы избежать периодов блокировки, или (в лучшем случае) применение методов взлома пароля к украденному паролю. данные. Большинство систем шифруют хранящиеся в них пароли, но эти зашифрованные файлы безопасны только в той степени, в какой защищена сама система. Если злоумышленники смогут заполучить зашифрованный файл паролей (через дыру в безопасности, скомпрометированную машина или социальная инженерия, для начала) они могут атаковать его очень быстро, когда он сам по себе системы. Именно поэтому истории о том, как злоумышленники получают информацию об учетных записях (например, Стратфор, Эпсилон, Сони, и Заппос) вызывают беспокойство. Как только зашифрованные данные будут раскрыты, злоумышленники смогут применить гораздо более мощные инструменты, чтобы взломать их.
В реальном мире это означает, что цифра в 1000 паролей в секунду крайне консервативна. Типичное настольное компьютерное оборудование в наши дни может тестироваться миллионы паролей в секунду по сравнению с обычными технологиями шифрования. Точно так же сейчас существуют инструменты для взлома паролей, использующие графические процессоры, а операторы криминальных ботнетов также занимаются взломом паролей. Они могут распределить рабочую нагрузку на тысячи компьютеров. Объедините эту грубую силу со сложной эвристикой (например, попробуйте варианты с цифрами и буквами на общие слова), и нет ничего необычного в том, чтобы взломать типичный восьмизначный пароль пользователя менее чем за полторы секунды. час.
Стреляем себе в ногу
Выше мы отметили, что восьмизначный пароль, состоящий из прописных и строчных букв, цифр и символов, может иметь более квадриллион возможных комбинаций, но большинство используемых сегодня восьмизначных паролей попадают в пул, насчитывающий всего около миллиарда. комбинации. Это потому, что люди не машины. Если компьютер достаточно использовать либо черепаха или Y&4nS0\2 в качестве пароля, угадайте, какой из них человеку легче запомнить? Теперь угадайте, какой из них более безопасен.
В некоторых системах реализованы требования к паролям, призванные гарантировать, что пользователи не будут использовать пароли, которые легко взломать. Распространенный подход состоит в том, чтобы требовать, чтобы пароли пользователей имели хотя бы одну заглавную букву, одну цифру, один символ и имели длину не менее восьми символов. (Некоторые системы не навязывают требований, но предлагают показатель «надежности пароля» как меру того, насколько эффективным, по их мнению, может быть пароль. быть.) Некоторые системы также требуют, чтобы пользователи время от времени меняли свои пароли (скажем, каждые 30 или 45 дней) и предотвращали их повторное использование. пароли.
Такого рода требования делать повышают безопасность паролей, но они также делают пароли гораздо более трудными для запоминания. Это означает, что значительная часть пользователей немедленно придумает способы подорвать безопасность системы ради собственного удобства. Конечно, некоторые люди могут справиться с такими паролями, как 9.3nDs(# но многие другие люди собираются ответить записками с паролями на боковых сторонах мониторов, заметками в своих кошельки или документ Microsoft Word на рабочем столе с услужливой надписью «Пароли», чтобы они могли копировать и вставлять, когда необходимый. Требования к созданию паролей также имеют тенденцию снижать производительность и увеличивать затраты на поддержку (как для сотрудников, так и для клиентов), поскольку все больше людей забудут свои пароли или будут заблокированы в своих учетных записях, что потребует ручного управления. вмешательство.
Создание сложных паролей
Тогда Святым Граалем паролей может показаться, что пароль сложный достаточно, чтобы непрактично взломать их с помощью автоматизированных методов, но при этом достаточно легко помнить, что пользователи не ставят под угрозу безопасность, храня или управляя ими небезопасно.
Вот несколько советов по созданию сложных и легко запоминающихся паролей:
- Используйте длинные пароли. Если восьмизначный пароль может иметь 1,6 квадриллиона возможных комбинаций, представьте, сколько их может иметь 16-значный пароль? (Около 2,8 нониллионов, или 2,830.) Однако, что, возможно, более важно, набор значений для 16-значного пароля с использованием общих терминов и вариаций составляет чуть менее 1,2 квинтиллиона, тогда как при восьмизначном формате их было чуть больше миллиарда. пароль. Использование более длинных паролей — это самый простой способ сделать пароли более сложными и более безопасными.
- Используйте комбинированные слова. Как сделать длинные пароли легко запоминающимися? Одним из распространенных методов является использование серии из трех-пяти простых, несвязанный условия. Обычно их так же легко запомнить, как и PIN-коды; когнитивно люди склонны запоминать целые слова как отдельные единицы. Однако эти пароли могут быть очень сложными, по крайней мере, с точки зрения взлома паролей. И эти пароли легко создать, просто осмотревшись или перевернув книгу на случайную страницу. Выглянув влево из окна, я вижу игрушечную лягушку, машину и окно чьей-то кухни. Новый пароль: ЛягушкаКолпачокШкаф — это 18 символов, но нужно запомнить всего три слова. Смотрим правильно: БегунКамераКлейСтрока — четыре коротких слова, 22 символа. Я использовал только заглавные буквы, чтобы разделить слова. Добавление дополнительных символов или замен может увеличить сложность — только не усложняйте пароль настолько, чтобы не стать жертвой слабых сторон сложных паролей.
- Используйте фразы или тексты песен. Другой способ создания длинных паролей — использование частей фраз или слов. Что касается текстов, относительно распространенные песни, возможно, лучше, чем те, которые особенно важны для вас: опять же, вы не хотите люди, которые вас хорошо знают, чтобы они могли угадать ваши пароли только потому, что вы большой поклонник Майкла Болтона (или нет). Примерами паролей, составленных из фаз или текстов песен, могут быть: ТыНетДжек Кеннеди (19 символов), iSotaManinReno (15 символов), импипинандимкрипин (20 символов).
- Используйте мнемотехнику. Недостатком длинных паролей является то, что их сложно вводить, особенно на мобильном устройстве. Еще один трюк, который некоторые люди считают полезным для создания сложных и коротких паролей, — это использование первого символа каждого слова во фразе или тексте. «Сколько дорог должен пройти человек» может стать ХмрмамвД— всего восемь символов, но относительно сложный с точки зрения программы для взлома паролей. Точно так же фраза «Встряхни, встряхни, как полароидную фотографию» могла бы стать SiSiLapp — возможно, не отлично, но лучше, чем черепаха. Этот трюк также может помочь генерировать хорошие пароли для систем, в которых все еще существует ограничение на длину паролей.
Эти рекомендации, как правило, помогут вам придумать простые для запоминания и сложные пароли. Конечно, когда мы имеем дело с системами паролей с требованиями к составу (то есть они ожидают смешанного регистра, цифры или символы) вам все равно придется придумывать причудливые пароли, чтобы их выполнить. требования. Просто помните, что с более длинными паролями вы можете делать замены и изменения в очевидных местах — обычно эти длинные пароли легче запомнить даже с учетом требований, чем короткие, бессмысленные пароли.
Еще несколько советов
Другие вещи, о которых следует учитывать при выборе паролей:
- Используйте отдельные пароли для отдельных сервисов. Не используйте пароль социальной сети для онлайн-банкинга. Если пароль одной службы скомпрометирован, остальные должны быть в безопасности.
- Тщательно выбирайте важные пароли. Системы единого входа могут быть чрезвычайно удобными, но они также создают единую точку отказа для нескольких сервисов. Примерами могут служить пароли к учетным записям в службах Google, Yahoo и Microsoft, где один взломанный пароль может дать кто-то получает доступ к электронной почте, документам, изображениям, социальным сетям, блогам, библиотекам фотографий, спискам контактов, адресным книгам и более. Аналогично, с таким количеством сайтов (даже Цифровые тенденции) принимая входы в Facebook и Twitter, раскрытый пароль социальной сети может иметь далеко идущие последствия.
- Измените свои пароли. Заманчиво думать, что если один из ваших паролей будет взломан, вы сразу узнаете: ваша электронная почта исчезнет, ваш блог исчезнет. превратится в набор лулз-графики, ваш список подарков Amazon может быть заполнен смущающими опциями, ваша учетная запись PayPal может быть удалена вне. Однако это не всегда так: если кто-то взломает ваш пароль, явных признаков этого может и не быть, по крайней мере, не сразу. Регулярно меняя свой пароль, вы гарантируете, что даже если кто-то взломает, его окно возможностей для вас будет ограничено. Частота смены паролей зависит от того, как вы используете онлайн-сервисы. Для всего, что связано с реальными деньгами, я обычно рекомендую пользователям менять свои пароли каждые 30–90 дней — чем больше денег, тем чаще.
Ни один пароль не является безопасным
Возможно, самое важное, что следует помнить о паролях, это то, что любой пароль можно взломать: это всего лишь вопрос того, сколько времени и усилий кто-то готов потратить на это. Приведенные здесь советы помогут снизить вероятность того, что ваши пароли будут удалены случайными злоумышленниками и даже друзьями и семьей, но ни один пароль не является полностью безопасным. Если для вас очень важен безопасный доступ к услуге, рассмотрите возможность использования различных форм многофакторной аутентификации, чтобы еще больше снизить вероятность несанкционированного доступа.
Изображение предоставлено: Шаттерсток / джемдизайн / Татьяна Попова / Педро Мигель Соуза
Рекомендации редакции
- Эти неловкие пароли стали причиной взлома знаменитостей
- Нет, 1Password не взломали – вот что произошло на самом деле
- Как защитить паролем папку в Windows и macOS
- LastPass рассказывает, как его взломали — и это не очень хорошие новости
- Reddit был взломан — вот как настроить 2FA для защиты вашей учетной записи