Влияет ли в действительности сложность пароля на безопасность аккаунта?

Судя по статистике, подавляющее большинство пользователей социальных сетей используют крайне простые пароли. Множество сайтов, для защиты данных юезеров, ставят условия минимальной длины пароля в 6 символов и предлагают использовать цифры. Но даже такие меры предосторожности нельзя назвать полноценной защитой.

«Насколько безопасен мой пароль?»

Именно такое предложение вы увидите во весь экран, перейдя на сайт:

На этом сайте, введя любой ваш пароль вы сразу же увидите за какое время этот пароль будет взломан. Если ваши пароли достаточно просты, то рекомендую вам их поменять, а не надеяться на авось. Перед этим рекомендую ознакомиться со статьей — «Как создать и почему вам нужен хороший, надежный пароль?». А чтобы не забыть и не потерять свои пароли воспользуйтесь советами из статьи — «Где хранить свои пароли. 5 простых и удобных способов».

Правила создания паролей

Практически на всех сайтах при регистрации есть список требований к паролям. Однако обычно требования эти минимальные: не менее 8 символов, не может состоять только из цифр или букв и т.д. Для создания реально сложного пароля необходимо помнить еще о нескольких ограничениях.

  • Логин и пароль не должны быть одинаковыми.
  • Не рекомендуется использовать любую личную информацию, особенно если её можно узнать из социальных сетей или других источников.
  • Не рекомендуется использовать слова.

Чтобы понять логику этих запретов, достаточно посмотреть, как взламываются пароли. Например, ключ из 5 цифр – это всего лишь 100 тысяч комбинаций. Программа для взлома путем простого перебора всех вариантов найдет подходящую комбинацию минуты за 2, если не меньше. Не сгодится для кода доступа и редкое слово. Взломщик может проанализировать разные словари на разных языках и найти соответствие. Вопрос лишь в том, сколько времени этой займет – несколько минут или пару часов.

Программа Advanced PDF Password Recovery для взлома паролей, установленных на PDF документ. Использует брутфорс, позволяет тонко настроить подбор, отметив используемые в пароле символы.

Сочетание редкого слова и цифр тоже не подойдет. Технология bruteforce позволяет искать сочетания цифр и слов, так что при необходимости такой ключ падет. Продержится он, конечно, чуть дольше, чем 123456789, но если вы из-за взлома понесете потери, то эта разница во времени вряд ли покажется существенной. Чтобы понимать, какой пароль надежный, а какой – не очень, посмотрим конкретные примеры. Примерное время взлома рассчитано с помощью сервисов проверки паролей, о которых рассказано ниже.

  • Дата рождения (05041992) – будет взломан за 3 миллисекунды.
  • Имя с маленькой или заглавной буквы (Segey, sergey) – продержится 300-500 миллисекунд, то есть меньше, чем полсекунды.
  • Комбинации из цифр и строчных букв (1k2k3d4a9v) – примерно 1 день.
  • На взлом пароля вида HDA5-MHJDa уйдет около 6 лет.
  • Комбинация AhRn&Mkbl363NYp будет расшифрована через 16 миллионов лет.

Никакие 16 миллионов лет и даже 6 лет взломщик работать не будет – это значение лишь демонстрирует, что взломать пароль в приемлемый срок невозможно.

Для чего нужны менеджеры паролей

Сохранять пароли в одном месте

Главная функция менеджеров паролей — сохранять информацию об учётных записях пользователей. Можно применять собственный уникальный пароль для каждой отдельной учётной записи: программа сохранит и запомнит любое количество комбинаций. 

Защищать данные

Конечно, вы можете сохранять свои пароли в браузере. Большинство популярных веб-браузеров имеет встроенные администраторы паролей. К примеру, вы регистрируетесь на сайте, а Google Chrome или Microsoft Edge предлагает вам сохранить пароль. При следующем входе на этот же сайт браузер автоматически заполнит нужные данные. 

Плюс браузерных менеджеров паролей — синхронизация между разными устройствами и простота использования. Вам не нужно ничего дополнительно настраивать, достаточно дать согласие запоминать пароли. Однако безопасность сохраняется только на уровне основного приложения. Если посторонний человек получит полный доступ к браузеру, он сможет украсть сохранённые пароли или использовать их для входа в учётные записи. 

Сторонние менеджеры паролей хранят всю информацию в зашифрованном и защищённом от взлома хранилище. Доступ к нему сможет получить только непосредственный владелец. 

Автоматически заполнять формы

Приложение указывает информацию для авторизации в соответствии с сохранённым URL-адресом. Это предотвращает ошибки ввода и защищает от хакерских атак. 

Генерировать сложные пароли

Для каждой новой учётной записи можно создать собственный уникальный пароль из хаотичной комбинации знаков, букв и цифр. Сгенерированный пароль может состоять из нескольких десятков или сотен символов. 

Определять опасные сайты

Менеджер паролей определяет правильный URL-адрес для конкретного идентификатора входа и пары паролей. При несовпадении адресов и предполагаемой подмене URL ввод регистрационных данных отменяется. 

Используйте длинные пароли и специальные символы при их создании

Один из самых действенных способов взлома пароля – это использование сложного программного обеспечения, которое применяется для подбора комбинаций цифр, букв и символов к учетной записи или архиву. Короткие пароли легко взламываются.

Длинный пароль, может значительно усложнить работу злоумышленников, т.к. для подбора комбинации потребуется огромная вычислительная мощность. Надежность пароля значительно возрастает, если использовать в его составе как можно больше специальных символов. Чем больше таких символов в нем, например, ! @ $% , тем выше вероятность того, что его не подберут.

Kaspersky: secure password check

Русскоязычный аналог, описанного выше сервиса. Работает по другому алгоритму, так что результаты проверки могут немного отличаться. Перейдите на сайт от Лаборатории Касперского и введите ваш шифр в соответствующее поле.

Для проверки возьмем все ту же комбинацию “123qwerty”.

Итак, российский сервис обещает взломать наш аккаунт всего за 27 секунд.

Похожие записи

Читай нас в Яндекс-Дзене Подписаться

Как работает онлайн генератор паролей?

Пароль

Генератор случайных паролей, или по английски random password generator – это онлайн-программа, которая создает для вас уникальный пароль в соответствии с заданными параметрами.

Так, с помощью нашего генератора надежных паролей вы сможете сгенерировать пароль длиной от 4 до 20 символов с буквами нижнего и верхнего регистра. Таким образом, чтобы создать пароль онлайн с помощью генератора паролей, вам необходимо:

  • выбрать длину пароля;
  • включить числа;
  • включить буквы верхнего и нижнего регистра;
  • включить дополнительные символы;
  • выбрать количество паролей, которые вы хотите получить;
  • нажать на кнопку «Генерировать».

Теперь генератор сложных паролей закончил свою работу и вы можете скопировать пароль и использовать его для регистрации в какой-либо системе или для замены старого пароля в ней.

Как сгенерировать максимально надежный пароль?

Почему так важно сделать пароль максимально разнообразным? Чем более сложным является набор символов в пароле, тем сложнее хакерам будет его подобрать. Дело в том, что хакеры не ломают голову самостоятельно над подбором пароля, а используют специальные программы-взломщики, которые генерируют различные комбинации в автоматическом режиме. Чем сложнее ваш пароль, тем дольше программа будет искать эту комбинацию.

Как работает программа по подбору паролей

Так, специальная программа на первом этапе своей работы расшифровывает простые пароли – длиной от 1 до 6 символов, которые включают в себя 26 латинских букв обоих регистров, 10 цифр и 33 других символов. Все эти 95 символов предлагают сравнительно небольшое количество комбинаций, которые обычный персональный компьютер способен обработать за несколько минут. Удлините пароль до 8 символов – и компьютеру придется поработать уже несколько дней. Еще несколько символов заставит метод обычного подбора работать годами. Самыми надежными считаются ключи длиной 11-12 символов в разных регистрах, с использованием цифр и прочих символов.

Однако недостаточно просто сделать пароль разнообразным. Как показывает практика, даже разнообразные пароли, придуманные людьми, подвержены взломам. Гораздо надежнее работает именно софт, то есть специальный генератор паролей онлайн, который не использует в своей работе шаблоны. Вероятность расшифровки такого пароля будет ничтожна мала. Чаще меняйте пароли к своим аккаунтам и не используйте один и тот же пароль для доступа к разным сервисам.

Атаки полного перебора

Почему требования именно такие? Причина в том, что они важны при оценке устойчивости пароля к атакам полного перебора. Допустим, мы используем в качестве пароля слово «admin». Возможный алфавит для такого пароля состоит только из букв нижнего регистра, которых в алфавите 26. Длина самого пароля составляет 5 символов, поэтому число возможных комбинаций пароля составляет 11881376 (26^5).

Кроме того, существует такое понятие, как энтропия пароля. Согласно википедии, информационная энтропия — мера неопределённости некоторой системы в статистической физике или теории информации. В нашем случае — это непредсказуемость появления какого-либо символа первичного алфавита. Для безопасности пароля учитывается т.н. «число бит энтропии» в пароле. Для «случайного пароля» — такого пароля, источником энтропии для которого служит генератор случайных чисел — число бит энтропии рассчитывается по формуле:

Где

  • H – получаемая энтропия
  • R – длина набора символов, используемая в качестве пароля (т.н. «алфавит» для пароля)
  • L – число символов в пароле
  • R^L – общее число возможных комбинаций пароля

Соответственно, возможно рассчитать ту длину пароля, которая будет при определённом значении энтропии:

Рассмотрим это на примере. Допустим, мы используем в качестве пароля слово «admin». Возможный алфавит для такого пароля состоит только из букв нижнего регистра, которых в алфавите 26. Длина самого пароля составляет 5 символов, поэтому энтропия для такого пароля будет составлять:

Таким образом, энтропия пароля «admin» составляет примерно 24 бит. А число возможных комбинаций для пароля длиной 5 символов из алфавита длиной 26 символов, как мы уже подсчитали, равно 11881376.

Тут надо понимать, что злоумышленнику не нужно подбирать все 11881376 вариантов. Пароль может подойти уже на второй, третьей попытке или не подойти вовсе (если начать перебор с середины возможных комбинаций). Именно поэтому для оценки сложности паролей оперируют понятием энтропии.

Энтропия при этом анализируется следующим образом: чтобы методом полного перебора найти пароль с энтропией в 24 бита, необходимо создать 2^24 паролей и попытаться использовать их при брутфорсе — один из 2^24 паролей окажется правильным.

Теперь рассмотрим обратный пример. Какая длина пароля обеспечит нам энтропию в 24 бит при использовании символов английского алфавита в нижнем регистре (длина алфавита – 26 символов)?

Если бы всё зависело только от энтропии… но при работе с паролями приходится учитывать ещё целый ряд дополнительных факторов.

Как взламываются пароли

Секретное слово для доступа знаете только Вы и никто другой. Как же тогда возможно его подобрать? Всё очень просто: часто в качестве пароля используются даты либо обычные слова из словаря. Количество цифр и словарный запас человека ограничены – взлом паролей такого типа происходит обычно за несколько минут специальными программами, которые с молниеносной скоростью перебирают все возможные варианты.

Если набрать в поисковике Яндекса точную фразу «взломать пароль», мы получим 184 тыс. ответов с конкретными методами и способами осуществить это. Специалисты утверждают: на сегодняшний день уровень развития технологий и методов взлома таков, что подобрать можно абсолютно любой пароль, вопрос лишь во времени…

Меньше смысла

Пароли из предыдущих пунктов — хреновые пароли. Ведь интернетом пользуется 3 с лишним миллиарда человек. И, наверняка, есть еще тысячи людей на этой земле, которые ставят себе пароли «айфоны», «Я люблю айфоны», «Я люблю айфоны очень сильно» заменяя «o» ноликом для большой «безопасности». По этой же причине никуда не годятся: «[email protected]»,«!admin123»,«motherrussia», «the_cool» и «thering7337».

Большинство подобных шаблонных фраз давно есть в хакерских словарях. Вот пример небольшого списка паролей для перебора. Можете скачать и поискать там ваш.

К тому же, при переборе хакеры используют не только словарные слова, но и закономерности, которыми бессознательно руководствуются люди при составлении паролей.

Люди мыслят и действуют очень похоже. И придумывают пароли тоже. На картинках — результаты анализа информации об аккаунтах 10 миллионов пользователей. Прокомментируем каждую из них:

Меньше смысла

1. Четверть паролей в мире заканчиваются на единицу! 2. Часто при создании пароля люди просто тыкают в стоящие рядом клавиши. 3. Слова «Я люблю его» в пароле встречаются чаще чем «Я люблю ее», но отстают по распространенности от слов «Я люблю себя» и «Я люблю секс». 4. Еще люди любят пятницу, бэтмена и чтобы логин совпадал с паролем. 5, 6, 7. Надежность пароля человека совершенно не зависит от его личных качеств. Вот примеры очень слабых комбинаций символов, которые используют руководящие работники известных компаний (на сайтах, которые принимали участие в исследовании). 8. Люди часто использует для своих паролей подряд идущие цифры и чьи-то имена, а также слова связанные с компьютерными играми и спортом.

Меньше смысла

Есть такая утилита для расшифровки паролей методом перебора, называется hashcat. Под нее можно создавать скрипты, которые учитывают подобные закономерности. Вот фрагмент таблицы с командами для их описания:

Меньше смысла

К примеру, можно написать код, который будет брать логин человека, по разному переставлять в нем регистр символов, добавлять разные цифры перед ним и после него, удалять символы с разных позиций и проверять, совпадает ли зашифрованная строка с исходной или нет. Займет это дело меньше секунды. И для определенного процента пользователей это сработает! И не надо никаких миллиардов лет. Пароль в виде немного измененного логина — плохая идея.

Меньше смысла

Словарь, ссылка на который была чуть выше, перебирается схожим образом. Сначала берется текущее слово как есть, потом с измененным регистром и т.д. Чаще используется не просто список паролей, а ассоциативные цепочки заранее вычисленных хешей, так называемые «радужные таблицы». Есть хорошая статья на Хабре о том, как они составляются. Эта технология ускоряет время угадывания зашифрованной строки в тысячи раз. Так что сроки, вычисленные сервисом из пунктов 6 и 7 — условны.

Меньше смысла

Подбор и расшифровка паролей — это не то, о чем легко рассказать в двух словах (последнего мы не коснулись в статье вообще). Но независимо от платформы и способа перебора характеристики надежного пароля едины — длина, разнообразие и бессмысленность.

Инна Шелепова
Оцените автора
( Пока оценок нет )