Главная страница » Как создать надежный пароль
Приложения Руководства и советы

Как создать надежный пароль

Работа с паролями является неотъемлемой частью взаимодействия в интернете с лучшими планшетами Android, нашими любимыми бюджетными смартфонами и всеми другими устройствами, которыми мы пользуемся. Пароли защищают все – от обыденного (наши аккаунты Spotify, YouTube и Twitch) до жизненно важного (наши аккаунты PayPal, Amazon и Venmo) и все, что между ними. Они являются ключами к цифровым замкам нашей онлайн-собственности и, таким образом, играют важную роль в защите нашей жизни от плохих игроков, стремящихся украсть личные данные и посеять хаос. Чтобы поднять свою цифровую безопасность на новый уровень, ознакомьтесь с лучшими приложениями 2FA на Android

Очень важно, чтобы только вы знали или могли угадать свои пароли. Но из чего складывается хороший пароль? Чтобы понять это, вам нужно знать кое-что о том, как взламывают пароли недоброжелатели в Интернете

Атаки грубой силы

В цифровой безопасности многократное угадывание пароля называется атакой ‘грубой силы’. Идея проста. Пробуйте все комбинации букв и цифр, пока не будет найдена нужная. Для человека такая задача была бы утомительной, повторяющейся, чреватой ошибками и отнимающей много времени. Для компьютера большинство этих проблем становятся тривиальными

По данным NordPass, компьютеры могут угадывать от 10 000 (на устаревшем Pentium 100 МГц) до миллиарда паролей в секунду (на суперкомпьютере). Угадывание четырехзначного PIN-кода (10 000 возможных PIN-кодов) займет секунду в худшем случае, если самый медленный компьютер не найдет правильный PIN-код до последней проверки

Что касается буквенно-цифровых паролей, состоящих только из строчных букв и цифр (36 возможных символов), то пароль из шести символов (36⁶ возможных комбинаций символов) может быть разгадан за 217 679 секунд (2,5 дня) в случае Pentium, или около 2 секунд в случае суперкомпьютера. Эти цифры – максимальное время, которое потребуется для перебора паролей. Это неприемлемо с точки зрения безопасности

Однако такой сложный пароль, как @ndroidPo1ice, угадать труднее. Он состоит из восьми символов, заглавных, строчных, цифр и символов, поэтому существует 94 возможных символа, что дает 94⁸ (более шести квадриллионов) комбинаций пароля. Такой уровень сложности достаточен для того, чтобы помешать нашему маломощному компьютеру, которому потребуется более 600 миллиардов секунд (более 19 000 лет) для перебора всех комбинаций. Он обеспечивает разумную защиту от нашего мощного компьютера, которому потребуется более шести миллионов секунд (70 дней), чтобы угадать все комбинации

Атаки на словарь

Эти расчеты предполагают максимально возможное время, при этом компьютер правильно угадывает только последнюю возможную перестановку символов. Среднее время, необходимое для угадывания пароля, составляет примерно половину от указанного выше. Хуже того, люди ужасно умеют подбирать пароли, но это (в основном) не наша вина. Проблема заключается в том, что лучшие пароли для предотвращения атак методом перебора представляют собой случайное распределение букв, цифр и символов. Легче всего запомнить пароли, состоящие из цифр и слов, которые имеют какое-то личное значение. Это открывает нам новую уязвимость: атаки по словарю

Этот тип атаки успешен, потому что многие люди используют в своих паролях общеупотребительные слова. Вместо того чтобы проверять каждую комбинацию всех возможных символов, злоумышленник может проверить слова, которые, как известно, используются во многих паролях. Кроме того, учитывая обилие утечек данных за последнее десятилетие, злоумышленники могут найти списки из сотен миллионов паролей для проверки, что намного меньше шести квадриллионов возможностей в нашем предыдущем примере

Взлом паролей

Еще один путь для атаки хакеров связан с тем, как онлайн-сервисы хранят пароли. Компании не хранят список паролей в открытом виде. Это сделало бы данные пользователей уязвимыми. Вместо этого они используют специальный тип шифрования для хранения паролей. Идея заключается в том, чтобы сделать функцию, позволяющую легко преобразовать пароль в новое значение таким образом, чтобы по преобразованному значению было трудно определить исходное

С тех пор как компании начали использовать эти алгоритмы, хакеры упорно работают над поиском способов их взлома. Некоторые из них, например SHA-1, были настолько тщательно взломаны, что простой поиск в Google по преобразованному значению позволяет узнать оригинальный пароль. Другие можно взломать за несколько часов методом грубой силы, арендовав время на AWS

С распространением этих типов атак злоумышленнику достаточно иметь список зашифрованных паролей и немного времени, чтобы получить доступ к вашим учетным записям

Решение

Как мы можем быть уверены, что никто не сможет угадать наши пароли? Хорошим эмпирическим правилом является изучение современных требований финансовых учреждений к паролям. Например, ваш банк может требовать, чтобы пароль состоял как минимум из восьми символов и содержал одну заглавную букву, одну строчную букву, одну цифру и один символ. Так что предыдущий пример @ndroidPo1ice отвечает всем требованиям

Решением этих проблем является использование более длинных и сложных паролей. Но это создает новую проблему. У большинства из нас десятки учетных записей. Мы не можем запомнить 50 паролей для 50 сервисов. Лучшее решение – это некий компромисс. Когда речь идет о разных паролях для разных сайтов, сосредоточьтесь на важных, которые контролируют доступ к вашим деньгам (Amazon, PayPal, Venmo и банковские счета), и используйте более простой пароль для менее важных аккаунтов (Spotify, TikTok, Discord). Таким образом, если ваш пароль будет раскрыт в случае утечки данных, это минимизирует риск для ваших самых важных аккаунтов

Что касается создания пароля, устойчивого к атакам перебором, атакам по словарю и взлому, сосредоточьтесь на длине, а не на сложности. Потенциальные пароли могут быть основаны на меме (@11yourBase@reB310ng2us), видеоигре (theC@k3is@L13) или книге (itWasThe835tOf*itWasTheW0r5tOf*). Но избегайте личной информации, такой как дни рождения, номера телефонов или никнеймы, поскольку такую информацию можно найти, просмотрев социальные сети

Нет необходимости помнить все свои пароли

Теперь, когда у вас есть отличный пароль, устойчивый к распространенным методам взлома, вам нужен способ запомнить его наряду с десятками других паролей, защищающих ваши учетные записи в Интернете. Один из способов – записать его. Некоторые люди заводят блокнот только для паролей, и это неплохой способ сохранить пароли, поскольку блокнот невозможно взломать. Два недостатка этого метода заключаются в том, что книга должна быть с вами, чтобы она была полезной, и, если вы потеряете ее, вы потеряете все свои пароли и, возможно, передадите их кому-то другому, если он сможет выяснить, какие учетные записи принадлежат вам

Если вы ищете цифровое решение для управления паролями, у вас есть два основных варианта на выбор: облачный и локальный. Облачный сервис сохраняет ваши пароли на своих серверах, и доступ к паролям можно получить в любом месте с любого устройства. С такой услугой вам нужно помнить только один пароль, а онлайн менеджер паролей позаботится обо всем остальном за вас. Недостатком является то, что вам приходится полагаться на третью сторону, чтобы сохранить ваши пароли в безопасности. Если их взломают, то взломают и вас

Вы также можете использовать локальное решение. Если вы не доверяете третьим лицам безопасность своих паролей, загрузите программное обеспечение, которое управляет вашими учетными данными с настольного компьютера или телефона. Это очень похоже на цифровую версию решения, использующего ручку и бумагу. Только ваши пароли хранятся в зашифрованном файле на вашем компьютере, а не в блокноте, который вы держите в столе. Недостатком локальных менеджеров паролей является то, что они подходят только для того устройства, которое вы используете

Одним из преимуществ использования менеджеров паролей является то, что они часто генерируют надежный пароль для вас. Выбор менеджера зависит от ваших потребностей и личных предпочтений, но некоторые из них лучше других

Об авторе

Аватар

Геннадий Морозов

Комментировать

Оставить комментарий