• Мнения
  • |
  • Обсуждения
Алексей Норкин Грандмастер

Каким должен быть надёжный пароль?

Несмотря на то что от взломанных паролей за последние годы пострадало огромное число пользователей Интернета, эффективной альтернативы этому способу защиты личных данных пока нет. Каким образом злоумышленники получают доступ к секретным словам и фразам, как защититься от атак взломщиков?

Фото: Depositphotos

Большинству из нас известны простые советы, усложняющие пароль. Во-первых, он должен быть уникальным, во-вторых, достаточно длинным, и в-третьих, в нём необходимо использовать не только строчные и прописные буквы, но и различные символы и цифры.

Пользователи осознают наличие угрозы и стремятся обеспечить свою информационную безопасность. Но их подводит память. Как на практике выполнить распространённую рекомендацию не записывать, а запоминать секретное слово? Неужели существуют люди, способные удержать в голове множество странных сочетаний разрозненных символов?

Несомненно, такие люди если и есть, то их очень мало. Рядовые юзеры придумали простой выход. Они запоминают пару кажущихся им сложными выражений, модифицируя сочетание от регистрации к регистрации, либо по настоянию админа сайта несколькими буквами, цифрами или знаками в начале или конце. Казалось бы, требования выполнены: пароль уникальный, длинный и сложный. Но надёжность такого метода низкая.

Как злоумышленники узнают пароли?

Время, когда где-то кто-то сутками напролёт стучал по клавиатуре, пытаясь подобрать пароль, давно прошло, если вообще когда-то было. Периодически появляются сведения, что очередной интернет-гигант обнаружил утечку информации — базы данных паролей своих пользователей. Пароли воруют. Причём не по одному, а тысячами и миллионами, получив тем или иным способом доступ к базе данных популярного сайта.

Несмотря на то что представители атакованных компаний уверяют пользователей, что никто не понёс ущерба, так как база данных паролей хранится в зашифрованном виде, действительность несколько отличается от публичных заявлений.

Задача злоумышленников зачастую легче, чем кажется
Задача злоумышленников зачастую легче, чем кажется
Фото: Depositphotos

Конечно, просто так взломать похищенную базу, даже обладая значительными вычислительными мощностями, способными перебирать миллиарды вариантов за несколько часов, очень и очень трудно. Практически невозможно. Но, благодаря самим пострадавшим, задача злоумышленников зачастую легче, чем кажется.

Всегда найдутся пользователи, которым безразлична судьба аккаунта. Их пароли — типа 12345, qwerty и пр. — подбирают первыми. С помощью методов криптографии, сопоставляя значения в открытом и зашифрованном виде, злоумышленники получают представление об алгоритмах шифрования, что упрощает им задачу автоматизированного подбора остальных секретных слов.

За простыми паролями «сдаются» псевдосложные, состоящие из использованных ранее в других местах сочетаний, дополненных парой предсказуемых знаков.

Несомненно, уникальные и сложные пароли устоят, их никогда не расшифруют. Но многие внешне неприступные стены мощных фортеций падут, оказавшись на деле лишь разрисованными акварельными красками иллюзорными картинками.

Каким должен быть пароль?

В американском Университете Карнеги-Меллон создана группа исследования паролей. Её члены видят свою задачу в выяснении методов, применяемых злоумышленниками для расшифровки секретных слов, и разработке чётких критериев надёжности защиты.

Каким должен быть надёжный пароль?
Фото: Depositphotos

После серии онлайн-тестов, в которых приняли участие более 50 тыс. человек, и изучения практических паролей студентов и профессоров университета группа пришла к выводу, что пользователи очень часто считают надёжными выражения, таковыми не являющиеся.

Среди ошибок — составление длинных сочетаний из распространённых слов или выражений (например, passwordpassword) и изменение старого пароля добавлением лишнего символа. Нередко для создания «надёжных» секретных слов последовательно нажимают несколько соседних клавиш клавиатуры — 1qaz2wsx3edc — или используют слэнг определённых сообществ. Ненадёжны и такие методы, как замена в слове буквы «о» цифрой «0» или «а» символом «@».

Разрабатывая пароль, исследователи из Карнеги-Меллон советуют опираться на следующие рекомендации:

  • выбирайте пароль длиной не менее 12 знаков;
  • используйте знаки 2−3 различных типов: прописные и строчные буквы, цифры, специальные символы;
  • размещайте символы разных типов вперемежку, не применяйте заглавные буквы исключительно в начале выражения, равно как цифры и символы только в конце;
  • избегайте имён людей и кличек домашних животных, названий мест, в которых вы живёте, брендов, спортивных команд, дат рождения и пр.;
  • не используйте распространённые фразы, тексты песен, стихи и цитаты;
  • откажитесь от шаблонов, «подсказанных» расположением клавиш на клавиатуре;
  • не применяйте один и тот же пароль в разных местах;
  • хороший способ создания надёжного пароля — придумать оригинальное предложение и использовать одну или две начальных буквы каждого слова, разбавляя их другими символами;
  • если выражение трудно запомнить, запишите его или используйте диспетчер паролей, но не отказывайтесь из-за удобства от безопасности информации.
Статья опубликована в выпуске 17.09.2017
Обновлено 22.07.2020

Комментарии (7):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Полезная информация!

    Оценка статьи: 5

  • Написано в целом правильно.
    Хочу добавить. Никогда не использовать слова лингвистически распознаваемого ряда.
    Т.е. даже если используете длинное слово типо коммунизацация19494" - это не может считаться надёжным паролем, так как может быть осуществлён так называемый "интеллектуальный подбор". Приемлемо менять р вы берёте местами слоги известным Вам способом.
    Так например допустим Вы выбрали пароль из 8 символов с использованием букв цифр и символо

    Регата8$ - это не надёжный пароль. Так как активный словарный запас обычного человека в среднем всего 5000 слов. Их подбор ( для соответствующей программы) не составляет труда.
    НО если вы слово Ре Га Та преобразуете в Га Ре Та, либо Та Ре Га, либо Та Га Ре , вставите симvвол после 1 в цифру после 2 слога, то получим ________Та$Га8Ре _________это будет достаточно надёжный пароль.( ПРичем чем он ее тем будет надёжнее). В данном случае вы запоминаете ключевое слово Регата и способ его шифровки.

    Оценка статьи: 5

  • Козьма Прутков Читатель 17 сентября 2017 в 10:09 отредактирован 23 мая 2018 в 04:41 Сообщить модератору

    Вопрос скорее в другом: для чего нужно что-либо прятать? Ведь прячет только тот, кто украл!

  • Здесь возникает еще один вопрос: как всю эту массу паролей запомнить?
    В конце концов, менеджер паролей - это еще одна база данных, которая превращается в мишень для хакеров. Если же злоумышленнику удастся подобрать "мастер-пароль" к этой базе, то ее могут не только скопировать, но и СТЕРЕТЬ - таким образом, Вы моментально лишитесь доступа ко всем своим аккаунтам...

  • Я свои пароли создаю просто. Беру известное мне русское слово и задаю его в английском регистре. Разумеется включая в нем заглавные буквы и цифры.

    Оценка статьи: 5