Как создать такой надежный и сложный пароль, чтобы хакеры рыдали, пытаясь вас взломать. Логины и пароли

Согласитесь, что в настоящее время трудно себе представить компьютерную жизнь без постоянного ввода пароля. Пароль нам необходим везде - начиная от включения компьютера, регистраций на различных сайтах и форумах, доступу к своим почтовым ящикам и заканчивая созданием аккаунтов (страниц с личными данными и настройками) в платежных системах и отправкой/получением платежей в электронном виде.

И если при одноразовой регистрации на каком-либо случайном сайте (например, только лишь для скачивания игры) можно не задумываясь указать любой пароль (даже «123456»), то при создании постоянного аккаунта на важном сайте (тем более, если это связано с денежными операциями) пароль должен быть очень надёжным.

В противном случае пароль может быть взломан злоумышленником, а полученные личные данные могут быть использованы для общения в сети от нашего имени (в лучшем случае) либо для получения кредитов или открытия счетов. Поэтому лучше позаботиться о защите заранее, и уже сегодня изменить все свои «слабые» пароли на более надёжные.

В этой статье давайте разберёмся, что такое надёжный пароль, а также поговорим об основных правилах при создании и хранении паролей.

А как вообще могут взломать наш пароль? И почему пароль не может быть любым? Ведь, казалось бы, как можно угадать пароль, который придуман лично мной?

Всё довольно просто! В большинстве случаев никто ничего не угадывает! Самый популярный способ взлома - это обычный перебор всех возможных вариантов - так называемый способ «грубой силы» или брутфорс (англ. brute force) . Стандартные пароли («123456», «111111», «789456», «qwerty», «фывапр», «йцукен» и т.п.) проверяются в первую очередь, а потом идет элементарная подстановка всех символов.

Естественно перебор делается не вручную, а с использованием специальных программ, которые способны в короткие сроки перебирать огромное количество различных комбинаций.

Для примера:

Пароль «09071985» (дата рождения) будет подобран за 1-2 секунды;

Пароль «андрей» будет подобран за 4 секунды

Пароль «Андрей» будет подобран за 3-4 минуты;

Пароль «1n2f4g8y0» будет подобран за 4 дня;

Пароль «EC3+gHFBI» будет подбираться 12 лет;

А пароль «kKC%5426hMIN» будет подбираться несколько миллионов лет.

Какие выводы можно сделать на данном этапе?

Вывод 1. Пароль не должен быть коротким.

Иметь пароль менее 8 символов вообще нежелательно, а ещё лучше, чтобы пароль содержал 10-12 символов или больше.

Вывод 2. Пароль не должен содержать только цифры или только буквы (особенно повторяющиеся). Лучше всего, когда буквы и цифры чередуются, а ещё лучше, если в пароль добавляются специальные символы или знаки препинания.

Вывод 3. Важно использовать в одном пароле символы в верхнем и в нижнем регистре (и большие и маленькие). Делается это с помощью клавиши Shift .

Ещё один способ взлома пароля - это анализ данных о человеке. Зная сведения о человеке, легче подобрать его пароль.

Вся информация о человеке собирается (то ли вручную, то ли с помощью специальных программ), а после проверяется в различных комбинациях.

Например, длинный пароль «андрейкурганов» будет перебираться брутфорсом примерно 150 тысяч лет, но если злоумышленник знает, с чьим паролем имеет дело, то такой пароль будет проверен в числе первых. И какой тогда толк от такого пароля?

Кроме того, таким способом злоумышленники могут подбирать не сам пароль, а «секретный вопрос», который часто используется для . Зачастую злоумышленнику проще нажать на кнопку «Забыли пароль?», а потом уже подобрать секретный вопрос, исходя из имеющихся данных о человеке, и получить заветный пароль.

А где проще всего узнать данные о человеке? Конечно в «социалках».

Очень просто зайти на сайт или и узнать о человеке его имя, фамилию, год рождения, имена детей, жены/мужа или домашних животных. Узнать можно быстро и практически всё, вплоть до любимой музыкальной группы, цвета или же любимых фраз и высказываний.

А если Саша Петров для входа в аккаунт «Одноклассники» используется пароль «SashaPetrov», то это как минимум верх беспечности. И потом мы удивляемся, что друзья получают от нашего имени сообщения с просьбами пополнить счет неизвестного телефона или одолжить деньги (например, переводом на указанную карточку).

Вывод 4. Не используйте пароль, который содержит любые данные о вас или вашей семье -всевозможные памятные даты (рождения, свадьбы и пр.), имена и фамилии родственников, номера квартир, документов или телефонов. Недопустимо также использование любых комбинаций, составленных из личных данных.

Вывод 5. Пароль должен быть бессмысленным, поэтому лучше отказаться от пароля, который представляет собой любое существующее словарное слово (на любом языке).

Вывод 6. Не использовать «секретные вопросы», ответы на которые можно легко узнать или подобрать.

Теперь немного о хранении паролей и их количестве.

Допустим, мы создали надёжный пароль и даже запомнили его. Запомнить второй пароль будет уже сложнее, третий ещё сложнее…

Именно по этой причине многие пользователи при регистрации на различных сайтах используют один и тот же пароль, либо создают пароли по типу «пароль1», «пароль2», «пароль3» или «парольMail», «парольSkype» и т.д. А ведь это неразумно, т.к. при взломе такого пароля злоумышленник получит доступ сразу ко всем нашим аккаунтам.

Конечно же, запомнить несколько паролей состоящих из случайного набора символов невозможно, поэтому надо каким-то образом записывать и хранить пароли, но…

Согласитесь, глупо создавать надёжный пароль, а потом записать его на стикер и приклеить к краю монитора. А ведь многие делают именно так, и что самое интересное делают это не дома, а в офисах. Я лично видел такое в налоговой инспекции!!! А ведь в таком компьютере может быть вся база данных с информацией о налогоплательщиках. Вот вам и ответ на вопрос, откуда у мошенников паспортные данные для получения кредитов.

Примерно тот же смысл получится, если положить у всех на виду блокнот, на обложке которого жирными буквами написано «МОИ ПАРОЛИ» или же на Рабочем столе Windows разместить текстовый файл с таким же названием.

Вывод 7. Необходимо использовать уникальный пароль для каждого отдельного Интернет сервиса, форума, сайта.

Вывод 8. Не держать пароли у всех на виду.

Вывод 9. Не xранить пароли в Интернете или на компьютере в виде текстового файла.

Если злоумышленник получит доступ к нашему компьютеру (это не так сложно, как может показаться), то найти файл с паролями для него будет ещё проще (при чем в любом месте на жестком диске).

Относиться к паролям и «секретным вопросам» надо так же серьезно, как к информации, которую защищают эти пароли, поэтому НИКОМУ не сообщайте свой пароль. Держите пароль в секрете от своих близких (особенно от детей) и друзей. Возможным исключением может быть пароль от общего банковского счета (семейного), если доступ к этому счету должны иметь и другие члены семьи.

Храните пароли только в надежном месте! Это важно не только с точки зрения хищения пароля посторонними лицами, но и с точки зрения случайной утраты пароля (по нашей неосторожности или неопытности).

Вывод 10. Не храните пароли с помощью встроенных в браузер «хранителей паролей».

Во-первых, никогда нельзя быть уверенным в надежности такого «хранителя» и в том, что сам браузер не содержит «дыр» в защите. Злоумышленники в первую очередь ищут «дыры» в браузерах, т.к. браузерами пользуются все.

Во-вторых, если случится сбой в работе браузера или всей системы, то очень велика вероятность, что мы потеряем доступ ко всем паролям, которые хранит браузер, а это хоть и не взлом, но тоже неприятно.

Вывод 11. Делайте копии паролей.

Если для хранения паролей вы используете специальные программные средства, то не забывайте периодически делать резервные копии баз данных с паролями. Если же вы храните пароли на листке бумаги, то сделайте вторую копию такого листа (или блокнота) и храните оригинал и дубликат в разных (укромных) местах.

Вывод 12. Не вводите пароли в посторонних программах, на посторонних сайтах, а также не отсылайте пароли по почте (даже по запросу от службы поддержки или администрации сайта). Администрация НАСТОЯЩЕГО серьезного сайта никогда не потребует пароль, поэтому если вы получили подобный запрос, то это скорее всего работа .

Вывод 13. Постарайтесь как можно реже вводить пароли с использованием чужих компьютеров, а особенно в общественных местах (интернет-кафе, терминалах и т.п.). Крайне не желательно на чужом компьютере вводить пароли для входа в аккаунт платежных систем или использовать интернет-банкинг, т.к. не исключено, что на этом компьютере используется устройство или программа для запоминания последовательности нажатий клавиш (клавиатурные шпионы).

Вывод 14. Периодически меняйте пароли (особенно если пользовались паролем за чужим компьютером). Чем надежнее пароль, тем дольше можно его использовать. Надёжный пароль из 12-14 символов, составленный с учетом описанных выше рекомендаций можно не менять несколько лет.

Придумывать каждый раз новый надёжный пароль иногда лень, поэтому для таких случаев можно воспользоваться специальными программами - . Такая программа случайным образом выдает комбинацию символов, и мы моментально получаем надёжный пароль.

Если же нужен генератор здесь и сейчас, то он перед вами. Устанавливайте длину пароля (количество символов) и просто нажимайте кнопку Генерировать :

ГЕНЕРАТОР ПАРОЛЕЙ

Ещё хочу дать вам пару ссылок на сайты, которые позволяют проверить надёжность используемого пароля:

На данном сайте надо вставить пароль в пустое поле, после чего сразу будет выдано сообщение, с указанием времени, в течение которого злоумышленник взломает ваш пароль, используя брутфорс.

Здесь просто наглядно показано насколько «силён» введенный пароль.

Ну и последний совет…

Если вы заметили непонятные изменения на каком-либо из своих аккаунтов или заподозрили, что кто-то получил доступ к вашей информации, то как можно скорее измените пароль и при необходимости сообщите об этом администрации или в службу поддержки сайта либо организации, представляющей данный аккаунт.

Сегодня я хочу затронуть очень важную тему, которая касается любого пользователя, работающего на компьютере и имеющего выход в интернет.

И тема эта касается паролей, которые от нас требуют вводить практически все сервисы, начиная от электронной почты и социальных сетей и заканчивая личным кабинетом на сайте госуслуг .

И, хотя парольная политика на многих сайтах немного может отличаться (какие символы при вводе пароля можно вводить, а какие нельзя), но все без исключения сервисы настаивают на том, чтобы мы использовали сложные пароли.

Очень часто мы просто игнорируем это предупреждение. Почему? На мой взгляд, по двум причинам.

Первая причина — просто лень.

Ну а вторая причина, скорее частично, вытекает из первой. Нам куда проще запомнить простой пароль "123456 " или «qwerty» , так как нам просто и удобно нажать последовательно 6 клавиш, чем запоминать сложный пароль типа «!QjhRt^&018@asW» , состоящий из 15 символов ( , цифр и спецсимволов). Причем спецсимволы для этого пароля (!^& и @ ) еще надо отыскать на клавиатуре, что не всегда удается с первого, второго, а иногда и десятого раза (Ваш покорный слуга не исключение из этого правила).

Так почему надо вводить сложные пароли? Как сделать сложный пароль таким, чтобы он легко запоминался?
Об этом и о многом другом я и хочу поговорить с Вами в этом уроке.

Для начала о логинах

Интернет замечателен тем, что мы сами можем придумать себе «имя», под которым нас будут, во-первых, узнавать в интернете, а во-вторых, мы будем вводить в формы, в которых нас просят ввести свой логин и пароль.

Это может быть Ваше реальное имя, а может быть какое-нибудь оригинальное, придуманное Вами.

С реальными именами на сегодняшний момент в интернете есть некоторые проблемы. Реальные имена, практически, все заняты. Что значит «заняты»?

Один из показательных примеров — это создание учетной записи электронной почты на любом почтовом сервисе.

К примеру, хочу я завести почтовый ящик на почтовом сервисе yandex.ru. И хочу, чтобы мой электронный адрес был [email protected].

Красиво, понятно, узнаваемо и легко запоминается.

Пытаюсь это сделать. Ввожу в поле «Придумайте логин» свое имя на латинице — Oleg .

Сервис мне заявляет, что «К сожалению, логин занят» . И предлагает мне 10 вариантов свободных логинов.

Но все они меня не устраивают по одной простой причине — слишком длинные. Мало того, в качестве уникального логина предлагает ввести номер своего мобильного телефона. Это получается, что все, кто будут получать мои письма, будут знать номер моего мобильного телефона. Вы этого хотите? Я, например, не хочу.

Ну, хорошо. Пересилю свою лень и предвзятость к длинным логинам и добавлю свою фамилию через точку. Судя по предложенным сервисом вариантам, точку в логине использовать можно. Ввожу Oleg.Ivashinenko .

Результат аналогичен предыдущему. Оказывается, на почтовом сервисе яндекса уже есть учетная запись с таким же именем и фамилией.

Значит необходимо придумать свое уникальное имя, которое, самое главное, нравилось мне самому.

В свое время я долго ломал голову, как придумать себе такое имя, чтобы я его точно не забыл и, чтобы было более-менее звучное.

В конце концов я взял по две первые буквы своего имени и фамилии и получился ник (никнейм — от английского nickname, что означает «другое имя», «псевдоним») oliv .

Но со временем и этот ник был занят на сервисах, где я регистрировался. Тогда я добавил еще две буквы от своего отчества и получился ник olivur .

Последние лет 10 я без проблем использовал этот ник при регистрациях. Так что если у меня будет почтовый электронный адрес в виде [email protected], то тоже будет неплохо.

Ввожу в форму свой оригинальный, как я считаю, логин «olivur».

Тоже занято. Сдаваться не хочу. Добавляю к имени магическую семерку.

Все получилось. В принципе, адрес электронной почты [email protected] тоже неплохо смотрится. Можно продолжать регистрацию.

Правда делать я этого не буду, так как на Яндексе у меня уже есть 2 почтовых ящика. Пока хватает. Перейдем к паролям.

Мне скрывать нечего. Я честный человек.

Очень часто на различных форумах, особенно на форумах по безопасности работы на компьютере и в интернете, я часто встречаю комментарии типа «Мне скрывать нечего. Я честный человек.»

И, хотя я обычно не комментирую такие высказывания, один раз все-таки не выдержал и написал примерно следующее: «Ну, раз Вам скрывать нечего и Вы честный человек, то напишите свой логин ипароль от этого форума, где мы общаемся».

Как Вы думаете, был ответ на мой комментарий? Правильно. Не было. Значит, есть что скрывать. А раз есть, что скрывать, значит в контексте данной фразы форумчанин уже не честный человек.

Ладно, все это софистика.

На самом деле вся информация, касающаяся каждого пользователя все-таки должна оставаться конфиденциальной. Начиная от номера паспорта и ИНН и заканчивая адресом электронной почты, а также логинами и паролями к различным ресурсам и сервисам в интернете.

На начальном этапе освоения компьютера действительно трудно разобраться, зачем нужна конфиденциальность. Но со временем придет понимание.

Приведу несколько собственных примеров.

Уже второй год я не хожу на почту или в сбербанк оплачивать квитанции за коммунальные услуги.

Все платежи я провожу из дома со своего домашнего компьютера. Это так называемые онлайн сервисы различных банков.

У банка «Русский Стандарт» сервис называется «Банк в кармане», у «ВТБ24» — «Телебанк» и т.д. И, хотя названия могут быть разными, суть одна — все очень удобно и прозрачно.

Для ведения финансовых операций у меня есть три пластиковые карточки — зарплатная, дебетовая и кредитная.

Дебетовую использую в качестве «Сберкнижки» и очень редко расплачиваюсь в магазине. Очень удобно. Никаких комиссий за ведение карточки и счета не берут. Ну а на накопленные средства капают еще и проценты.

С зарплатной карты я оплачиваю все платежи. Ну а если вдруг подходит время оплаты квитанции, а на зарплатной карте уже ничего нет, то расплачиваюсь кредитной картой. Ну а со следующей зарплаты уже перевожу на кредитную карту нужную сумму, чтобы не снимали проценты.

Так к чему я это все рассказываю?

Все это я делаю (оплаты коммунальных платежей по готовым шаблонам, перевод денег со счета на счет) в личных кабинетах соответствующих банков. Ну а доступ к этим личным кабинетам осуществляется по логинам и паролям .

Поскольку это мои личные финансы, я очень сильно заинтересован, чтобы никто, кроме меня не знал моих учетных данных в этих банках. И, хотя при выполнении финансовых операций банки требуют коды подтверждения, которые мне присылают по СМС на мобильный телефон, пароли я имею довольно сложные.

И, хотя, на всякий случай, они записаны у меня в , эти пароли я помню. Но об этом чуть позже.

Еще один показательный пример .

Буквально недавно я зарегистрировался на сайте государственных услуг . Оказался довольно интересным и нужным для меня, во всяком случае, порталом.

Я с удивлением обнаружил, что у меня, оказывается, долг по налогам. Но удивление быстро прошло, так как я вспомнил, что земельный налог я заплатил слишком поздно. И мне пошла пеня. Мой долг государству месяц назад составлял уже 12 руб. 75 коп.

Заодно посмотрел, есть ли у меня штрафы ГИБДД. Оказалось, что есть один. Хотя бумажку по почте я никакую еще не получал.

Хотя за границу я пока не собираюсь, но все же оплатил эти долги, чтобы душа была спокойна.

Ресурс оказался интересным. Можно без проблем сделать загран паспорт, поставить машину на учет, записать ребенка в детский сад и т.д. и т.п.

Так вот, в качестве логина на этот ресурс используется номер СНИЛС а. Этот логин действительно уникален и его знаю только я.

СНИЛС — это Страховой Номер Индивидуального Лицевого Счета страхового свидетельства государственного пенсионного страхования. Ну а чтобы никто не имел доступа к моей личной информации, пришлось придумывать действительно сложный, но запоминающийся пароль.

Как взламывают пароли

Я не хакер и не эксперт в области компьютерной безопасности. Но основные принципы информационной безопасности мне знакомы. И Вы должны их знать. Это поможет в будущем сэкономить массу нервных клеток.

Не буду отрицать, что хакер (крупнейший специалист в области безопасности компьютерных систем), если захочет взломать Ваш компьютер, то сделает это. При условии, конечно, что Вы сами не эксперт в этой области.

Утешает одно. Честно говоря, ни я, не Вы хакерам совершенно не нужны. Поверьте на слово. У них глобальные интересы.

А вот что касается нас, простых смертных, то с нами работают довольно распространенные в интернете программы, которые доступны любому пользователю.

Как такие программы попадают на наши компьютеры я уже описывал в уроке « ». Поэтому повторяться не буду.

Сейчас я хочу Вам рассказать про один из видов таких программ, которые занимаются подбором паролей на различных информационных ресурсах.

Такой вид программ носит название «Брутфорс» . Это название происходит от сочетания двух английских слов "brute force " , которые означают «Полный перебор» или «Метод грубой силы» .

Такие программы для подбора паролей используют специальные «словари» . Что такое «словари»?

«Словарь» — это обычный текстовый файл (или несколько файлов), в каждой строчке которого написано какое-то «слово». Например:

password

Так вот. Такие программы поочередно берут каждое «слово» из такого «словаря» и подставляют в поле пароля, пока это «слово» не совпадет с придуманным Вами «словом», которое Вы используете в качестве пароля.

В зависимости от сложности Вашего пароля, такой программе может понадобиться от нескольких секунд до сотен лет. А то и вообще не сможет подобрать.

Так что, если у Вас пароль «qwerty» или, допустим «z,kjrj» (слово «яблоко» , набранное на английской ), то у такого типа программ на подбор пароля уйдут секунды.

Так что же делать? Как узнать, насколько простой или сложный у Вас пароль?

На самом деле, не все так плохо и мрачно.

Придумываем сложный пароль

Специалисты по компьютерной безопасности тоже не сидят сложа руки. Они проводят постоянный анализ различных вредоносных программ. В частности и программ типа «Брутфорс».

И в интернете на данный момент уже масса ресурсов, на которых Вы сможете проверить уникальность Вашего пароля.

Давайте на примере одного из таких ресурсов и посмотрим, как создать себе «сложный», но легко запоминающийся пароль.

В качестве такого ресурса выберем http://password.ru/ (Еще сервисы проверки надежности пароля: 2ip.ru , howsecureismypassword.net)

Еще один ресурс, ссылку на который прислала мне читательница Мэри: https://ru.vpnmentor.com

Я Вам расскажу об одном из алгоритмов. Но Вы можете проявить свою фантазию и придумать свой алгоритм.

Пусть, к примеру, Вас зовут Иванов Иван Иванович. «Придумываем» пароль по фамилии, так как это слово мы точно помним с детства — ivanov

Судя по ответу сайта, на взлом такого пароля уйдет меньше секунды. Добавляем восклицательный знак (или любой другой спецсимвол) перед фамилией — !ivanov

Уже лучше. Для взлома такого пароля программе понадобится 12 минут 57 секунд.

Добавляем восклицательный знак после фамилии - !ivanov!

Получается тоже не очень сложный пароль, который взламывается за 12 часов 31 минуту.

Добавим в конец цифры 12345 - !ivanov!12345

Как видно из сообщения, такой пароль может быть взломан через 7 с половиной миллионов лет.

Хотя пароль получился сложным, но запоминается довольно легко. Примерно такие алгоритмы составления паролей я сам и использую.

Есть еще один вариант создания сложных паролей, который легко запоминается.

Например, сегодня утром перед работой, по телевизору показывали мультфильм «Аленький цветочек». Чем не пароль? Легко запоминается.

Но в лоб, конечно, такой пароль оставлять не желательно. Переиначим его. Наберем название мультфильма на английском регистре c маленькой буквы без пробела: fktymrbqwdtnjxtr и проверим его на сайте.

На взлом такого пароля потребуется примерно пол миллиона лет.

Как Вы видите, совсем не трудно придумать сложный легко запоминающийся пароль.

На этом на сегодня все. Всем удачи и творческих успехов. 🙂

С уважением ко Всем моим читателям и подписчикам

Олег Ивашиненко

Если Вам понравилась статья, поделитесь с друзьями в социальных сетях.

К записи 15 комментариев

Одной из самых существенных проблем, связанных с обеспечением безопасности в организации являются пароли к учетным записям важных пользователей. Даже если вы тщательно спланируете и настроите параметры безопасности групповой политики, включая настройки брандмауэра в режиме повышенной безопасности, развернете антивирусное программное обеспечение и будете поддерживать в обновленном состоянии систему и антивирусное ПО, настроите политики IPSec, развернете сервера защиты доступа к сети, а у учетных записей ваших пользователей будут недостаточно сложные пароли, безопасность всей вашей компании может быть под угрозой.

Разумеется, вы можете, и даже должны, при помощи групповой политики задать ограничение по созданию сложных паролей, установить интервал для блокировки учетной записи в случае неправильного ввода пароля, а также настроить политики аудита для анализа неудачных попыток входа в систему. Но даже пароли, которые операционная система будет считать сложными (то есть длина пароля будет превышать определенное количество символов, пароль будет содержать символы верхнего, нижнего регистра, а также цифры), могут на самом деле оказаться уязвимыми и простыми для злоумышленников, которые будут их взламывать. Именно этот этап обеспечения безопасности вашей компании может оказаться для вас наиболее сложным, так как здесь ваше участие играет лишь посредственную роль, а любое халатное отношение со стороны ваших пользователей может летально сказаться на инфраструктуре всей компании. Другими словами, в этом случае вам нужно постараться заставить ваших же пользователей создавать безопасные пароли, запоминать их, периодически эти пароли менять, а также держать эти пароли при себе, что, по сути, может оказаться намного сложнее, чем спланировать инфраструктуру организации, а также развернуть и поддерживать в рабочем состоянии сервера с соответствующими серверными ролями.

В этой статье я немного расскажу о том по каким причинам какие пароли нельзя создавать, а также как именно нужно создавать пароли для своих учетных записей. Рассмотрим все по прядку.

Методы взлома паролей

К одному из наиболее распространенных методов атаки на любую инфраструктуру можно отнести взлом паролей пользователей, которые проходят проверку подлинности для того чтобы можно было получить доступ к внутренней сети организации. Соответственно, если злоумышленник получит доступ к учетной записи пользователя, у него будет возможность достучаться до каких-либо внутренних документов компании и к прочей защищенной информации. Помимо учетных записей пользователей для доступа к внутренней сети организации, также часто злоумышленники стараются взламывать аккаунты электронной почты, социальных сетей, блогов и прочего. Поэтому пользователям следует объяснить, что нельзя для всех своих учетных записей использовать одинаковый пароль, а уж тем более простой пароль.

В принципе, существует много методов взлома паролей, но в этой статье будут вкратце рассмотрены лишь основные методы, которые наиболее распространены в наше время. К этим методам можно отнести логическое угадывание, перебор паролей по словарю, метод грубой силы (или полный перебор), а также самый серьезный метод - использование человеческого фактора.

Логическое угадывание

Этот метод является самым простым, и начинают обычно именно с логического угадывания пароля. Например, злоумышленник может попробовать угадать пароль ваших пользователей, зная имя, фамилию вашего пользователя и, скажем, его год рождения. Например, если пользователь создаст пароль типа «Фамилия + год рождения» или логин, указанный в обратном порядке, можно особо не волноваться, такой пароль будет взломан через несколько минут.

Перебор паролей по словарю

Так как многие пользователи в качестве паролей любят указывать к какой-либо своей учетной записи одно слово, будь то название вулкана в Исландии или имя любимого кролика и, максимум, добавлять к такому паролю одну цифру, злоумышленники могут взломать такой пароль, используя заранее отобранные пароли, которые загружаются из специальных словарей. В такие словари обычно включаются слова из разных языков, которые могут использовать неопытные или безразличные к своей безопасности пользователи. Подбор пароля, используя данный метод, обычно не занимает много времени и злоумышленник сможет получить доступ к данным ваших пользователей буквально через несколько часов. А так как подобных словарей в просторах Интернета очень много, следует сразу объяснять пользователям, что им не следует использовать такие пароли, так как пострадать может не только их учетная запись в социальной сети, а и вся инфраструктура предприятия.

Еще одним методом, связанным с перебором по словарю, называется перебор по таблице хешированных паролей. Этот метод используется тогда, когда злоумышленник смог определить хеши паролей и ему остается лишь найти в базе данных пароль, который будет полностью соответствовать данному хешу.

Метод грубой силы

Метод грубой силы (brute force) или полный (прямой) перебор отличается от предыдущего метода тем, что при подборе пароля используется не определённый словарь, согласно которому можно подобрать простой пароль, а большое количество любых возможных комбинаций. В этом случае, как вы понимаете, все зависит лишь от сложности пароля и количества символов. Думаю, многие из вас видели следующую таблицу, исходя из которой, можно приблизительно оценить сложность создаваемых паролей, если учесть что в паролях будут только лишь буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду:

Количество знаков	Количество вариантов	Время перебора
		менее секунды
		менее секунды
		менее секунды




	2,821 109 9?1012	11 месяцев
	1,015 599 5?1014
	3,656 158 4?1015
	1,316 217 0?1017
	4,738 381 3?1018	1 505 615 лет

Соответственно, более-менее стойким паролем можно считать пароль, длина которого будет состоять не менее чем из восьми символов. Так как при написании этой статьи, основной задачей стояло рассмотрение методов создания стойких паролей, в ней не будут рассматриваться средства реализации перебора паролей методом грубой силы.

Использование человеческого фактора

Несмотря на то, что при использовании человеческого фактора не применяется какая либо технология, этот метод в большинстве случаев считается самым действенным и иногда даже самым быстрым, так как в этом случае злоумышленники получают пароли незаконным методом от самих пользователей, причем, последние об этом могут даже не подозревать. Прежде всего, при использовании этого метода получения пользовательских паролей злоумышленник обычно узнает имена сотрудников организации, которые он может, как знать изначально, так и найти на том же, скажем, веб-сайте компании, а уже после этого, согласно продуманному заранее сценарию злоумышленник может получить от пользователей практически любые данные. Методов получения пользовательских паролей, используя человеческий фактор, очень много. Вкратце рассмотрим основные способы:

· Фишинг . Является довольно распространенным методом получения от пользователей необходимой информации. Сам термин фишинг (phishing) происходит от английского слова fishing, что переводится как рыбная ловля и представляет собой вид мошенничества, основной задачей которого является получение доступа к конфиденциальным данным пользователей. Сама атака происходит следующим образом: пользователю на почтовый ящик приходит письмо, скажем, от банка, где пользователю предлагают, перейдя по предоставленной ссылке, в целях обеспечения безопасности сменить на сайте свой пароль. На самом деле, такая ссылка ведет на сайт хакера со страницей, которая очень похожа на страницу банка и при попытке смены своего пароля, пароль будет отправлен злоумышленнику;

· Заражение компьютеров средствами троянских коней . Как вы знаете, троянским конем называется вредоносная программа, которая распространяется злоумышленниками, при помощи которой он может получить доступ данным, в зависимости от того, какую он поставил перед собой задачу. В свою очередь, пользовательские пароли не являются исключениями;

· Кви про кво . Данный метод пошел от латинского выражения qui pro quo (одно вместо другого), что также обозначает недоразумение, возникшее в результате того, что одно лицо, вещь или понятие принято за другое. В случае с хищением паролей, этот способ подразумевает звонок злоумышленников в компанию. Злоумышленник может представиться техническим специалистом и узнать о уязвимостях, которые могут быть в организации и воспользоваться ими. Или же просто узнать пользовательский пароль по телефону;

· Претекстинг . Этот способ самый простой. По большому счету, используя данный метод хищения пароля, злоумышленник, может быть даже, в какой-то степени, далек от хикинга, так как в данном случае, выполняются действия, отработанные по заранее составленному претексту или, проще говоря, сценарию. Он может начать общаться с пользователем на каком-то веб-сайте, средствами переписки по электронной почте, UIM-мессенджерам и т.д. По вполне понятным причинам, данный метод может занять значительно больше времени, чем все указанные раньше, но, тем не менее, он тоже востребован.

Простейший метод хищения пароля изображен на следующей иллюстрации:

Создание сложных паролей

Скорее всего, вы все видели следующую картинку.

Здесь довольно-таки в простой и шуточной форме нарисовано, какие пароли можно создавать и как с такими паролями будут взаимодействовать ваши пользователи. Если честно, то с методом, который указан на картинке можно не согласиться, так как второй пароль может быть быстрее взломан, чем первый, хоть на это и уйдет у злоумышленника какое-то время.

Прежде всего, как я уже говорил в начале статьи, в любом случае вам нужно настраивать ограничения по созданию сложных паролей при помощи групповой политики, причем, привязывать такие политики следует не для какого-то конкретного подразделения, а для всего домена. Разумеется, настроив политики безопасности, вы предотвратите создание паролей типа «123456» или «qwerty», которые так любят указывать пользователи, пользовательские пароли могут быть все равно уязвимыми для хакеров.

Например, если у вас в отделе продаж есть пользователь Владимир, который родился 9-го числа какого-то месяца, его паролем вполне может быть что-то вроде «Vladimir9». Как видите, длина такого пароля девять символов, что, скорее всего, будет превышать предустановленную средствами групповой политики длину пароля. Помимо этого, в данном пароле есть буквы из разного регистра (ну негоже ведь, свое имя указывать с маленькой буквы) и в данном пароле есть цифры (в указанном случае, день рождения пользователя). Соответственно, пароль будет удовлетворять требованиям, указанным при помощи групповой политики, но взломать его можно буквально в считанные секунды.

Вам нужно постараться убедить своих пользователей создавать для любых своих учетных записей сложные пароли, создавать разные пароли для каждой учетной записи, а также хранить свои пароли у себя в памяти. Последние два момента являются наиболее сложными, так как большинство пользователей привыкло иметь один пароль для своей учетной записи в Active Directory, а также, хорошо, если так, иметь один пароль на почтовые ящики, социальные сети, трекреы, форумы и так далее. Если вы все таки заставили своих пользователей создать сложный пароль, обратите внимание на то, что многие любят записывать его на бумажке и клеить к своему монитору, на клавиатуру и т.п., что является недопустимым, так как это уже паролем назвать сложно.

Как создать сам пароль

Желательно, чтобы пользовательский пароль был не менее чем из 8 символов, причем, чтобы в пароле в произвольном порядке были написаны буквы латиницей в разных регистрах, пароль содержал цифры и, чтобы там еще были специальные символы. Если пароль создается для учетной записи, которая будет выполнять вход на сервер, то желательно создавать пароли, длина которых будет превышать 12 символов. В большинстве случаев, пользователи редко заморачиваются придумыванием таких паролей. Поэтому, вам нужно будет или вместо них придумывать пароли, что крайне неудобно, т.к. если у вас 20 пользователей, это займет какое-то время, но вы с этим справитесь, но если у вас более 100 пользователей, то на такое бессмысленное занятие уйдет целый день. А их ведь еще нужно периодически менять, т.к. ни один пароль не может быть совершенным.

Поэтому вы можете или направлять пользователей на сайты с генераторами паролей, например, на сайт http://genpas.narod.ru или на сайты с подобным функционалом. Таких сайтов на самом деле очень много. Также вы можете на своем внутреннем веб-сервере написать страницу, которая будет предоставлять такой же функционал, что тоже вряд ли займет много времени, даже если у вас нет навыков в веб-программировании. А о наличии такой страницы на сайте вы можете уведомить пользователей, скажем, при помощи официальной рассылки. Соответственно, вашим пользователям не нужно будет тратить время на то, чтобы придумать сложный пароль, а останется лишь его запомнить.

Также вы можете рассказать своим пользователям о простых сценариях, позволяющих создать сложный, но легко запоминающийся пароль. Различных интересных сценариев можно придумать сотни. Рассмотрим несколько таких сценариев.

1. Возьмите два русских слова - глагол и имя существительное. Например, слова «готовить» и «подсвечник». Добавьте произвольное число, которое будет разделено на две части, например, год рождения любимого писателя, скажем, 1966, а также возьмите любой специальный символ, пусть будет, например, знак вопроса. Теперь запишите все, что нашли ранее в следующем порядке: первое слово с большой буквы, первые две цифры из года рождения, знак вопроса, второе слово с большой буквы и последние две цифры. Должно получиться что-то в этом роде: «Готовить19?Подсвечник66». теперь наберем полученный пароль на английской раскладке. В результате, у вашего пользователя будет следующий пароль: «Ujnjdbnm19?Gjlcdtxybr66 ». В таком пароле получилось 23 знака, причем, подобрать его методом перебора по словарю нереально, а используя метод грубой силы у злоумышленника уйдет, мягко говоря, не один месяц.

2. Возьмите любую скороговорку, например, «В недрах тундры выдры в гетрах тырят в ведра ядра кедров» и возьмите дату рождения двоюродной тети пользователя, скажем, 29 октября 1957. Теперь запишите каждую первую букву каждого слова на английском языке, причем, запишите каждую вторую букву в верхнем регистре и между некоторыми словами проставляйте по одной цифре, а в конце пароля поставьте знак восклицания. Должно получиться следующее: «vN2tV9vG10tV19vY57k! ». Опять же, такой пароль подобрать будет очень сложно.

3. Возьмите любую строку самого любимого стихотворения, например, «Недаром помнит вся Россия про день Бородина!» и запишите по две буквы из каждого слова на английской раскладке, причем, для каждого нового слова укажите букву в верхнем регистре. В конце можете поставить день своего рождения. Например, в данном случае должно получиться следующее: «YtGjDcHjGhLt». получен еще один сложный пароль.

4. Возьмите сложное слово, которое вы помните, но чтобы это слово не часто использовалось в разговорной речи. Например, возьмем слово, которое стыдно не знать, а именно название вулкана, который извергался в Исландии в 2010 году, а именно: Эйяфьядлайёкюдль. В этом слове 16 букв, поэтому вставим после 8-й буквы год события, т.е. 2010 и напишем все слова, как и в предыдущих примерах на английской раскладке. Получим следующий сложный пароль: «”qzamzlk2010fq`r.lkm ».

Разных интересных сценариев можно еще придумать очень много. Самое главное то, что такие пароли не сложно запомнить и они считаются сложными.

Проверить сложность созданного пароля можно многими способами. Например, у компании Microsoft есть средство проверки паролей, которое позволит вам узнать, насколько надежным получился сгенерированный вами пароль. Для этого перейдите на страницу средства проверки паролей и в соответствующем текстовом поле введите свой пароль. Вы сразу получите уведомление, в котором будет указан тип сложности вашего пароля. Пример этого средства показан на следующей иллюстрации:

Заключение

В этой статье было рассказано о методах взлома пользовательских паролей, а также о том, как можно создать сложный для взлома пароль, но который будет довольно простым для запоминания. Я надеюсь, что при помощи указанных в этой статье четырех простых примеров у вас получится научить своих пользователей следить за сохранностью своих данных и создавать сложные пароли. А какие сценарии для генерирования сложных паролей применяете Вы?

Большинство злоумышленников не заморачиваются с изощрёнными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с четырёх попыток.

Как такое возможно? Очень просто. Вы пробуете четыре самые распространённые в мире комбинации: password, 123456, 12345678, qwerty. После такого прохода в среднем открывается 1% всех «ларчиков».

Допустим, вы попадаете в те 99% пользователей, чей пароль не столь прост. Даже в таком случае необходимо считаться с производительностью современного программного обеспечения для взлома.

Бесплатная программа John the Ripper, находящаяся в свободном доступе, позволяет проверять миллионы паролей в секунду. Отдельные образцы специализированного коммерческого ПО заявляют о мощности в 2,8 миллиарда паролей в секунду.

Изначально программы для взлома прогоняют список из статистически наиболее распространённых комбинаций, а затем обращаются к полному словарю. С течением времени тенденции пользователей в выборе паролей могут слегка меняться, и эти изменения учитываются при обновлении таких списков.

Со временем всевозможные веб-сервисы и приложения решили принудительно усложнить пароли, создаваемые пользователями. Добавились требования, согласно которым пароль должен иметь определённую минимально длину, содержать цифры, верхний регистр и специальные символы. Некоторые сервисы отнеслись к этому настолько серьёзно, что придумывать пароль, который приняла бы система, приходится реально долго и нудно.

Ключевая проблема в том, что практически любой пользователь не генерирует действительно устойчивый к подбору пароль, а лишь пытается по минимуму удовлетворить требования системы к составу пароля.

В результате получаются пароли в стиле password1, password123, Password, PaSsWoRd, password! и невероятно непредсказуемый p@ssword.

Представьте, что вам нужно переделать пароль spiderman. С большой вероятностью он примет вид наподобие $pider_Man1. Оригинально? Тысячи людей изменят его по такому же, либо очень схожему алгоритму.

Если взломщик знает эти минимальные требования, то ситуация лишь усугубляется. Именно по этой причине навязанное требование к усложнению паролей далеко не всегда обеспечивает лучшую , а зачастую создаёт ложное чувство повышенной защищённости.

Чем легче пароль для запоминания, тем более вероятно его попадание в словари программ-взломщиков. В итоге получается так, что действительно надёжный пароль просто невозможно запомнить, а значит, его нужно где-то .

По мнению экспертов, даже в нашу эпоху цифровых технологий люди по-прежнему могут полагаться на листочек бумаги с записанными на нём паролями. Такой лист удобно держать в скрытом от посторонних глаз месте, например в кошельке или бумажнике.

Впрочем, лист с паролями не решает проблему. Длинные пароли тяжело не только помнить, но и вводить. Ситуацию усугубляют виртуальные клавиатуры мобильных устройств.

Взаимодействуя с десятками сервисов и сайтов, многие пользователи оставляют за собой вереницу идентичных паролей. Они пытаются использовать один и тот же пароль для каждого сайта, полностью игнорируя риски.

В данном случае некоторые сайты выступают в роли няньки, принуждая усложнять комбинацию. В итоге пользователь просто не может , каким образом ему пришлось видоизменить свой стандартный единый пароль для данного сайта.

Масштаб проблемы получилось полностью осознать в 2009 году. Тогда из-за дыры в безопасности хакеру удалось украсть базу логинов и паролей RockYou.com - компании, издающей игры на Facebook. Злоумышленник поместил базу в открытый доступ. Всего в ней содержалось 32,5 миллиона записей с именами пользователей и паролями к аккаунтам. Утечки случались и ранее, но масштабность именно этого события показала картину целиком.

Самым популярным паролем на RockYou.com оказалась комбинация 123456. Её использовали почти 291 000 людей. Мужчины до 30 лет чаще предпочитали сексуальную тематику и пошлости. Более взрослые люди обоих полов зачастую обращались к той или иной сфере культуры при выборе пароля. Например, Epsilon793 кажется не таким уж плохим вариантом, вот только эта комбинация была в Star Trek. Семизначный 8675309 встречался много раз, потому что этот номер фигурировал в одной из песен Tommy Tutone.

На самом деле создание надёжного пароля - задача простая, достаточно составить комбинацию из случайных символов.

Вы не сможете создать идеально случайную комбинацию в математическом понимании в своей голове, но от вас это и не требуется. Существуют специальные сервисы, генерирующие действительно случайные комбинации. К примеру, random.org может создавать такие пароли:

mvAWzbvf;

83cpzBgA;

tn6kDB4T;

2T9UPPd4;

BLJbsf6r.

Это простое и изящное решение, особенно для тех, кто использует для хранения паролей.

К сожалению, большинство пользователей продолжают использовать простые ненадёжные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.

Ситуации, при которых пароля может быть под угрозой, можно разделить на 3 большие категории:

Случайные , при которых пароль пытается узнать знакомый вам человек, опираясь на известную ему информацию о вас. Зачастую такой взломщик хочет лишь подшутить, узнать что-то о вас либо подгадить.

Массовые атаки , когда жертвой может стать абсолютно любой пользователь тех или иных сервисов. В данном случае используется специализированное ПО. Для атаки выбираются наименее защищённые сайты, позволяющие многократно вводить варианты пароля за короткий промежуток времени.

Целенаправленные , сочетающие в себе получение наводящих подсказок (как в первом случае) и использование специализированного ПО (как при массовой атаке). Здесь речь идёт о попытке заполучить действительно ценную информацию. Защититься поможет только достаточно длинный случайный пароль, на подбор которого уйдёт время, сравнимое с длительностью вашей .

Как видите, жертвой может стать абсолютно любой человек. Утверждения типа «мой пароль не будут красть, потому что я никому я нужен» не актуальны, потому что вы можете попасть в подобную ситуацию совершенно случайно, по стечению обстоятельств, без каких-либо видимых причин.

Еще серьёзнее стоит относиться к защите паролей тем, кто обладает ценной информацией, связан с бизнесом либо находится с кем-то в конфликте на финансовой почве (например, раздел имущества в процессе развода, конкуренция в бизнесе).

В 2009 году Twitter (в понимании всего сервиса) был взломан лишь потому, что администратор использовал в качестве пароля слово happiness. Хакер подобрал его и разместил на сайте Digital Gangster, что привело к угону аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.

Акронимы

Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надёжные комбинации, которые можно без проблем запомнить?

На данный момент наилучшим сочетанием надёжности и удобства является конвертация фразы или словосочетания в пароль.

Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.

Однако, поскольку в качестве изначальных будут использоваться самые известные, программы со временем получат эти акронимы в свои списки. Фактически акроним содержит только буквы, а потому объективно менее надёжен, чем случайная комбинация символов.

Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то и высказывания, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте её.

И всё равно вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определённых букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.

Обратный способ

Выходом может стать обратный способ генерации. Вы создаёте в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.

Часто сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит чуть приглядеться, и становится очевидно: пароль помнить и не нужно. Для примера возьмём очередной вариант с random.org - RPM8t4ka.

Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые три буквы в нём заглавные, а следующие три - строчные. 8 - это дважды (по-английски twice - t) 4. Посмотрите немного на этот пароль, и вы обязательно найдёте собственные ассоциации с предложенным набором букв и цифр.

Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.

Случайный пароль - это золотой стандарт в информационной . Он по определению лучше, чем любой пароль, придуманный человеком.

Минус акронимов в том, что со временем распространение такой методики снизит её эффективность, а обратный метод останется столь же надёжным, даже если все люди земли будут использовать его тысячу лет.

Случайный пароль не попадёт в список популярных комбинаций, а злоумышленник, использующий метод массовой атаки, подберёт такой пароль только брутфорсом.

Берём несложный случайный пароль, учитывающий верхний регистр и цифры, - это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62 ^ 8 = 218 триллионов вариантов.

Даже если количество попыток в течение определённого временного промежутка не ограничено, самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор нужной комбинации. Для уверенности добавляем в такой пароль всего 1 дополнительный символ - и на его взлом понадобятся уже многие годы.

Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом.

Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.

Единая надёжная основа

Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса и удобства хорошо покажет себя «философия одного надёжного пароля».

Принцип заключается в том, что вы используете одну и ту же основу - супернадёжный пароль (его вариации) на самых важных для вас сервисах и сайтах.

Запомнить одну длинную и сложную комбинацию по силам каждому.

Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищён.

Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов - им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечёт каких-то фатальных последствий.

Понятно, что надёжную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka.

Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.

Секретный вопрос

Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.

В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент ещё и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?».

Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.

Вы уже догадались о сути.

Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные.

Вопрос даже не в том, что эту информацию можно аккуратно выудить в интернете или у приближённых персоны. Ответы на вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.

В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991.

Впрочем, подобный приём, если найдёт широкое распространение, будет учтён в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.

На самом деле нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос нестандартный, а ответ на него известен только вам и не угадывается с трёх попыток, то всё в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.

PIN

Personal Identification Number (PIN) - дешёвый замок, которому доверены наши . Никто не беспокоится о том, чтобы создать более надёжную комбинацию хотя бы из этих четырёх цифр.

А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?

По оценкам Ника Берри, 11% населения США использует в качестве PIN-кода (там, где есть возможность самому его изменить) комбинацию 1234.

Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленькую длину кода).

Берри взял списки появлявшихся после утечек в сети паролей, представляющих собой комбинации из четырёх цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так. Второй по популярности PIN - это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).

Предположим, что у знающего эту информацию человека в руках чья-то . Три попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шансов угадать PIN, если он последовательно введёт 1234, 1111 и 0000.

Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами.

Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Часто PIN представляет собой какой-то год (год рождения или историческая дата).

Многие любят делать PIN в виде повторяющихся пар цифр (причём особо популярны пары, где первая и вторая цифры отличаются на единицу).

Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 - для её набора достаточно сделать прямой проход сверху вниз по центру.

В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.

Итог

Зайдите на random.org и создайте там 5–10 паролей-кандидатов.

Выберите пароль, который вы сможете превратить в запоминающуюся фразу.

Используйте эту фразу для того, чтобы вспомнить пароль.

Приветствую на блоге сайт! Давно уже хотела написать статью о том, каким должен быть пароль для аккаунта, чтобы его взломать было очень сложно. Из этой статьи вы узнаете, как создать сложный пароль. Будут рассмотрены приемы, которые помогут не только сделать пароль безопасным, но и не сложным для вашего запоминания.

Сейчас мы уже не представляем свою жизнь без интернета. Практически каждый сайт запрашивает регистрацию. Самые популярные ресурсы - соцсети. Ежедневно миллионы пользователей проходят авторизацию в аккаунтах. Мы рискуем наделать много ошибок – отправляя важные данные в сообщениях. Хорошо, когда стоит сложный пароль для вк или другой популярной соцсети, это помогает обезопасить себя от злоумышленников.

Несколько методов усложнения пароля

Каким же должен быть пароль? Этим вопросом задаются сотни пользователей интернета. Различают следующие виды паролей:

буквенный;

символьный;

цифровой;

комбинированный (комбинация предыдущих вариантов);

использование регистра.

Первые три вида не внушают доверия. Это слишком простые способы создания пароля. По неопытности мы совершаем ошибки и ставим их. Ладно, это будет «пасворд» для аккаунта на форуме или другом подобном месте. А, если это вход в кабинет банка, все пропадут ваши денежки. Единственное, что спасает – служба безопасности подобных сайтов разработала систему отвержения легких паролей.

Буквы, цифры и символы

Сочетание букв, символов и цифр – самый безопасный вид пароля. Нужно серьезно поломать голову, чтобы его отгадать.

Опытные «юзеры» советуют новичкам использовать именно эту комбинацию. Также не стоит делать его слишком коротким. Длинная комбинация позволит сохранить свои данные и переписки в безопасности от третьих лиц.

Главное не используйте банальные фразы ниже:

«123»;

«123456»;

«321»;

«qwerty»;

«asdfg».

Эти и другие подобные наборы символов с клавиатуры гарантируют взлом. Не только вам они приходят первыми в голову, а сотням людей. Их вычислит даже не специальная программа, а обычно недоброжелатель.

Как же подобрать пароль для почты или другого вида авторизации? Этим вопросом стоит заняться самостоятельно. В помощь придут еще несколько вариантов усложнения пароля.

Регистр

Перед тем, как ввести логин и пароль, стоит обратить внимание на чувствительный регистр некоторых форм. Комбинирование прописных и строчных букв сделают пароль более надежным.

Сочиняя секретное слово, подумайте над его разнообразием. Чередуйте заглавные и маленькие буквы по одной или несколько штук. Такой метод серьезно огорчит сетевых злодеев.

Самое обидное, если вы сами забудете порядок. По рекомендации опытных пользователей стоит первый символ сделать прописным, второй – строчным, и далее чередовать по одному. Данный совет лучше взять на заметку, чтобы потом не ломать себе голову.

Без внедрения особенностей регистра в «пассворд» можно обойтись, но это все-таки это еще один метод повысить сложность пароля.

Перевертыши

Дата рождения, которую вспомнит любой пользователь – это самый банальный и простой способ. Если ее правильно обыграть, то может получиться неплохой вариант. Используя «перевертыш», многие сумели создать выигрышный пароль, который вряд ли поддастся разгадке.

Способ основан на написании символов в обратном порядке. Выбираете любую дату, например, когда вы родились и набираете текст наоборот. Если у вас задумана фраза «081978», то переворачивая, получаем «879180». Довольно просто запомнить, как пишется такой пароль.

Рассмотрим и другие более сложные задумки. Предположим, основа пароля – ваши имя и фамилия. Набираем, уже зная технику с применением регистра – «PeTrPeTrOv». Теперь применим тактику «перевертышей». Применяем дату, например, когда родился пользователь – 21 февраля 1982 года. Плюс ко всему прибавим символов. В конце получаем следующий пример пароля – «PeTrPeTrOv!28912012». Итог получился ошеломляющим, ведь для «юзера» он прост и легок, но никак не для злоумышленников.

Проверьте надежность и безопасность пароля с помощью онлайн сервисов:

https://password.kaspersky.com/ru/

https://howsecureismypassword.net/

Шифрование

Какой же все-таки должен быть пароль? Узнаем еще один отличный способ. Будем рассматривать принцип шифрования. По сути все рассмотренные ранее методы перекликаются с этим. Здесь мы покажем, какие бывают пароли путем шифрования фраз.

Берем самую бессмысленную и уникальную фразу, которая легко отложится в памяти. Пусть будет «космические тараканы». Вы можете использовать любые строчки из песен и стихов, желательно не сильно известных.

Затем применим к нашей фразе шифр. Рассмотрим несколько верных способов:

переписывание русскоязычного слова на английской раскладке;

«перевертыш»;

замена букв на символы внешне схожие (например, «о» – «()», «i» - «!», «а» - «@»);

удаление парных или непарных символов;

выбрасывание согласных или гласных букв;

дополнение спецсимволами и цифрами.

Итак, задумаем несколько слов со смыслом – «космические тараканы». Берем по 4 буквы от каждого, получаем «космтара». Переключаемся на английский язык и перепечатываем – «rjcvnfhf». Усложняем, начиная шифр с заглавной буквы и добавляя символы.

Вот каким должен быть пароль на примере первоначально задуманной фразы – «Rjcvnfhf@955».

Придумана надежная комбинация с большим количеством символов. Проверяется надежность пароля с помощью специальных сервисов, например, passwodmetr.com. Комбинацию, как у нас получилась не просто угадать мошенникам, так личные данные пользователя не вовлечены. А вот для «юзера» такой «пассворд» находка, так как запомнить такой надежный пароль не составит труда.

Генератор

Для тех, кто не желает тратить лишнее время на раздумывания, разработчики давно изобрели генераторы сложных паролей. Этот способ обеспечивает некоторую степень надежности. Лучшими все равно считаются «пассворды», придуманные своим умом.

Что такое генератор и как им пользоваться? Это умная программа, которая выводит рандом паролей – совершено случайно выпавшие комбинации. Он использует многие рассмотренные методы, но «перевертоши» не берет во внимание.

Генератор сложных паролей скачивается из сети. Например, возьмем «keepass». Как и любой другой генератор работает не сложно. Запускается приложение и сама генерация путем нажатия специальной кнопки. После проделанной операции ПК выдает вариант пароля. Остается дело за малым – вписать получившуюся комбинацию в неизменной форме или с дополнениями.

Трудные пароли, придуманные железным другом, очень сложно запомнить. Редко кто хранит их в уме, чаще приходится записывать. Паролей обычно бывает много, мы ведь не сидим на одном сайте и постоянно регистрируемся вновь-вновь на других ресурсах. Поэтому хранить кучу подобной информации не всем удобно. Можно и вовсе затерять все бумаги с записями.

Есть один выход с хранением – напечатать их в файле компьютера. Это один из надежнейших случаев. Стоит лишь помнить, что система ПК не вечна и тоже приходит в негодность.

Все способы создания усложненных паролей уже рассмотрены выше и вы сможете создать пароль для электронной почты, который надежно защитит ваши данные от третьих лиц.

Предлагаю вниманию несколько нужных советов по созданию паролей:

не упоминать личную информацию о пользователе (ФИО родственников, клички домашних животных, номера телефонов, адреса, даты рождения и другое);

в пароле нельзя использовать кириллицу;

не употреблять фразы, которые легко вычисляются с помощью словаря популярных паролей (ястерва, love, alfa, samsung, cat, mercedes и прочие подобные, а также другие их производные и сочетания);

учитывать длину символов – желательно не менее 10;

усложнять пароль комбинацией всевозможных методов – прописные и строчные буквы, цифры, символы;

не употреблять самые частые пароли – шаблоны, думать оригинально (робот, вычисляющий ваш пароль, не сможет быть столь умным, как человек).