Что такое пароли: Sorry, this page can’t be found.

Сегодня доступно множество вариантов аутентификации, поэтому пользователям не нужно полагаться на пароли, которые можно легко взломать или взломать.

Эти варианты включают:

• Двухфакторная аутентификация (2FA) — 2FA требует, чтобы пользователи предоставили два фактора аутентификации, которые включают комбинацию чего-то известного пользователю — например, пароля или PIN-кода; что-то есть у пользователя — например, удостоверение личности, токен безопасности или смартфон; или что-то такое у пользователя — биометрия.
• Биометрия — Биометрические технологии в основном используются для идентификации и контроля доступа. Биометрия включает физиологические характеристики, такие как отпечатки пальцев или сканирование сетчатки глаза, и поведенческие характеристики, такие как шаблоны набора текста и распознавание голоса.
• Многофакторная аутентификация (MFA) — MFA аналогична 2FA, за исключением того, что она не ограничивается только двумя факторами аутентификации. Он также использует то, что знает пользователь, что-то, что есть у пользователя, и что-то, что он есть.
• Токены — Маркер безопасности — это физическое аппаратное устройство, такое как смарт-карта или брелок, которое пользователь несет для авторизации доступа к сети.
• Одноразовые пароли (OTP) — OTP — это автоматически сгенерированный пароль, который аутентифицирует пользователя только для одной транзакции или сеанса. Эти пароли меняются при каждом использовании и обычно хранятся в токенах безопасности.
• Вход в социальные сети — Вход в социальные сети, когда пользователи могут аутентифицировать себя в приложениях или веб-сайтах, подключившись к своей учетной записи в социальных сетях, таких как Facebook или Google, вместо использования отдельного входа для каждого сайта.

Пароли | Информационная безопасность

Назначение

Пароли являются важной частью информационной и сетевой безопасности. Пароли служат для защиты учетных записей пользователей, но неправильно подобранный пароль в случае взлома может поставить под угрозу всю сеть. В результате все сотрудники Колледжа Нью-Джерси должны предпринять соответствующие шаги для создания надежных и надежных паролей и их постоянной защиты. Цель этого руководства — установить стандарт для создания, защиты и изменения паролей, чтобы они были надежными, надежными и защищенными.

Область применения

Настоящее руководство распространяется на всех сотрудников Колледжа, которые имеют или несут ответственность за компьютерную учетную запись или любую форму доступа, которая поддерживает или требует пароля, в любой системе, которая находится в любом учреждении Колледжа или имеет доступ к Колледжу Нью-Йорка. Сеть Джерси.

Общие

Что такое пароль? Ваш компьютерный пароль — это ваш личный ключ к компьютерной системе. Пароли помогают гарантировать, что только авторизованные лица имеют доступ к компьютерным системам.Пароли также помогают определить ответственность за все транзакции и другие изменения, внесенные в системные ресурсы, включая данные. Если вы поделитесь своим паролем с коллегой или другом, вы можете предоставить неавторизованный индивидуальный доступ к системе и можете нести ответственность за их действия. Что, если человек передаст ваш пароль кому-то другому? Что, если некоторые из ваших файлов будут удалены или иным образом станут непригодными для использования? Готовы ли вы взять на себя вину, если неавторизованное лицо использует ваши права доступа для повреждения информации в системе или для внесения несанкционированных изменений в данные?

Для доступа к любой совместно используемой компьютерной информационной системе требуется аутентификация лиц в качестве действительных пользователей путем ввода действительного пароля.Каждый пользователь несет ответственность за выбор, конфиденциальность и изменение паролей, необходимых для аутентификации. Поскольку вы несете ответственность за выбор собственного пароля, важно уметь отличать хороший пароль от плохого. Неверные пароли ставят под угрозу информацию, которую они должны защищать. Хорошие — нет.

Ваш пароль не должен совпадать с вашим User / LogonID, анаграммой вашего User / LogonID или палиндромом вашего User / LogonID.Если у вас есть доступ к нескольким системам, требующим ввода пароля, таким как мэйнфрейм и локальная сеть (LAN), постарайтесь не использовать один и тот же пароль для обеих систем. Хороший пароль относительно легко запомнить, но трудно угадать кому-то другому. Есть множество методов, которые вы можете использовать для выбора безопасных паролей. Ниже приведены некоторые примеры создания паролей.

Но обычно:

• Пароли следует менять каждые 90 дней.
• Старые пароли нельзя использовать повторно в течение 6 месяцев.
• Все пароли должны соответствовать правилам, изложенным ниже.

Руководство по созданию пароля

используются для доступа к любому количеству систем колледжа, включая сеть, электронную почту, Интернет и голосовую почту. Плохие и ненадежные пароли легко взломать и поставить под угрозу всю систему. Следовательно, требуются надежные пароли. Попробуйте придумать пароль, который также будет легко запомнить.

• Пароли не должны основываться на хорошо известной или легко доступной личной информации.&)
• Пароли не должны основываться на личной информации пользователя или его друзей, членов семьи или домашних животных. Личная информация включает идентификатор входа в систему, имя, день рождения, адрес, номер телефона, номер социального страхования или любые их варианты.
• Пароли не должны быть словами, которые можно найти в стандартном словаре (английском или иностранном), или являться общеизвестным сленгом или жаргоном.
• Пароли не должны быть банальными, предсказуемыми или очевидными.
• Пароли не должны основываться на широко известных вымышленных персонажах из книг, фильмов и т. Д.
• Пароли не должны основываться на названии компании или географическом местоположении.

Ниже приведены примеры некоторых методов создания паролей.

1. Используйте слово, состоящее из одной или двух цифр.

Примеры: HOu32SE # !, MON42 # day, TaB87LEt%

2. Придумайте аббревиатуру на основе детских стишков, любимой песни или фильма или предложения.

Примеры:

MHAll76 #! — У Мэри был ягненок

MdHF # 888- У моей собаки блохи #

Term2 * 123 — Терминатор 2

3.& 1, 56DIGit% 1

4. Составляйте бессмысленные слова, которые что-то значат для вас, сочетая первые слоги двух слов. Однако избегайте использования стандартных сокращений, таких как «январь, февраль, мар и т. Д.». как часть вашего пароля.

Пример:

PUBPOL5% doc — Опубликованный документ о политике

5. Отбросьте гласные или все, кроме первых 6 букв длинного слова или двух слов.

Примеры:

CLNdsk12 # — чистый стол

DEDICAtn5% — посвящение

HOMEWOrk # 9- работа на дому

6.Используйте специальные символы, такие как #, $ и @. Их тоже можно вставить куда угодно.

Пример: UNI $ VERs9 — университет

7. Введите слово с ошибкой, опустите пару букв или добавьте несколько.

Примеры:

MISTIFIy @ — mystify

CELLEBr59 — праздновать

RaiNYDY 17 $ — дождливый день

8. Будьте изобретательны! Попробуйте выбрать узор, который имеет для вас значение, но о котором никто не может догадаться.Например, вы можете использовать предстоящие события в своей жизни. Если вам или одному из ваших детей предстоит написать в следующем месяце важное сочинение, вы можете создать пароль, отражающий это событие.

Пример: MAJESSay + 7 — Major essay

Или, если ваш четвертый двоюродный брат, дважды удаленный, приезжает в гости, вы можете создать пароль, такой как следующий.

Пример: 4CUZZ02vis #

9. Другой шаблон может заключаться в том, чтобы выбрать значащие слова минимум из 10 букв и всегда использовать только первые 6 букв.Затем добавьте специальный символ в качестве одного из символов. Примечание. В некоторых системах есть ограничения на то, какие специальные символы могут использоваться как часть пароля.

Примеры:

ЮБИЛЕЙ $ 0 — юбилей

UNBENDab # 9- несгибаемый

@ UNBENDab1 — несгибаемый

UN # BENDab1- несгибаемый

Лучший пароль — это пароль, представляющий собой случайную комбинацию цифр, букв и специальных символов.

Пример: 48KK43% Vz2

В системах, в которых разрешены буквы верхнего и нижнего регистра, используйте для пароля комбинацию символов верхнего и нижнего регистра.

Пример: 4 * hk8LP9a4

Руководство по защите паролем

• С паролями следует обращаться как с конфиденциальной информацией. Ни один сотрудник не должен сообщать, сообщать или намекать свой пароль другому лицу, включая ИТ-персонал, администраторов, начальство, других коллег, друзей или членов семьи, ни при каких обстоятельствах.
• Если кто-то требует ваш пароль, порекомендуйте ему или ей ознакомиться с этими инструкциями или попросите его связаться с ИТ-отделом.
• Пароли не должны передаваться в электронном виде через незащищенный Интернет, например, по электронной почте. Однако пароли могут использоваться для получения удаленного доступа к ресурсам компании через виртуальную частную сеть, защищенную IPsec, или веб-сайт, защищенный SSL.
• Ни один сотрудник не должен вести незащищенную письменную запись своих паролей ни на бумаге, ни в электронном файле.Если окажется необходимым вести учет пароля, то он должен храниться в месте с контролируемым доступом, если в печатной форме, или в зашифрованном файле, если в электронной форме.
• Не используйте функцию «Запомнить пароль» приложений и не создавайте «горячую клавишу» для использования пароля.
• Пароли, используемые для доступа к системам компании, не должны использоваться в качестве паролей для доступа к учетным записям или информации, не принадлежащим компании.
• По возможности не используйте один и тот же пароль для доступа к нескольким системам компании.
• Если сотрудник знает или подозревает, что его пароль был скомпрометирован, необходимо сообщить об этом в ИТ-отдел и немедленно изменить пароль.
• Не используйте примеры паролей, приведенные в этом документе.
• Наконец, помните, что нет необходимости сообщать идентификаторы и пароли. Любой, кто нуждается в доступе к компьютерной системе и имеет право на доступ к ней, должен отправить запрос на получение собственного идентификатора входа в систему и пароля.

Важность надежных и безопасных паролей

Несанкционированный доступ — потенциально серьезная проблема для любого, кто пользуется компьютером или высокотехнологичными устройствами, такими как смартфоны или планшеты.Последствия для жертв этих взломов могут включать потерю ценных данных, таких как презентации, электронные письма и музыка. У жертв также могут быть украдены данные их банковских счетов, деньги или даже их личные данные. Более того, неавторизованные пользователи могут использовать чужой компьютер для нарушения закона, что может создать для жертвы проблемы с законом.

Надежный пароль обеспечивает необходимую защиту от финансового мошенничества и кражи личных данных.

Один из наиболее распространенных способов взлома компьютеров хакерами — это угадывание паролей.Простые и часто используемые пароли позволяют злоумышленникам легко получить доступ к вычислительному устройству и управлять им.

И наоборот, пароль, который трудно угадать, чрезвычайно затрудняет взлом машины обычными хакерами и заставляет их искать другую цель. Чем сложнее пароль, тем меньше вероятность того, что компьютер станет жертвой нежелательного вторжения.

Обмен информацией и проблемы безопасности

Благодаря современным технологиям вычислительные устройства бывают самых разных форм, например настольные компьютеры, ноутбуки, смартфоны, музыкальные плееры и планшеты.Любое из этих устройств может подключаться к другим вычислительным устройствам и обмениваться информацией, а во многих случаях они также могут подключаться к банкам для проведения финансовых транзакций. Все эти машины потенциально уязвимы для неправомерного использования неавторизованными пользователями, и поэтому пользователи всегда должны защищать их паролями.

Пароли — это средство, с помощью которого пользователь доказывает, что он имеет право использовать вычислительное устройство. У одного устройства может быть несколько пользователей, каждый со своим паролем.Пароли похожи на систему с замком и ключом, в которой только правильный ключ дает человеку доступ. Разница в том, что у каждого человека от одной двери разные ключи.

Некоторые вычислительные устройства, такие как настольные компьютеры и портативные компьютеры, также имеют пользователя уровня управления или « суперпользователя », который, помимо прочего, может управлять другими пользователями и изменять программное обеспечение вычислительных устройств. Эта учетная запись суперпользователя также известна как учетная запись « root » или « administrator ».Это важно знать, потому что, хотя хакеры будут пытаться получить любой пароль, который они могут получить, они обычно сначала пытаются угадать пароль суперпользователя, поскольку это дает им максимальный контроль над устройством.

Ключевые моменты защиты паролем

Существуют ключевые моменты безопасности паролей, которые пользователи должны знать, чтобы снизить вероятность того, что хакер взломает их пароль и, таким образом, получит доступ к их устройству.

• Самое главное, пароли должны быть длинными и сложными.
• Длинные и сложные пароли требуют больше усилий и времени для разгадывания хакером.
• Пароли должны содержать не менее десяти символов и содержать комбинацию символов, таких как запятые, знаки процента и круглые скобки, а также прописные и строчные буквы и цифры.
• Пользователи никогда не должны записывать свои пароли, так как это облегчает их кражу и использование кем-либо другим.
• Кроме того, никогда не используйте один и тот же пароль для двух или более устройств, так как хакеры, взламывающие одну машину, будут пытаться использовать один и тот же пароль для управления другими.

Безопасность мобильных устройств

На мобильных устройствах также необходим PIN-код или код доступа. Это похоже на пароль для компьютера, но он может состоять минимум из четырех символов или цифр и быть чем-то, что не является личным или легко угадываемым. Коды доступа для устройств также должны быть настроены на тайм-аут через короткий промежуток времени. По истечении тайм-аута код необходимо будет ввести повторно. В идеале тайм-аут должен составлять не более 20 минут, хотя лучше всего использовать более короткие периоды между тайм-аутами.

Важность надежного пароля

Одна из проблем, с которыми люди часто сталкиваются при создании сложных паролей, — это страх забыть их, особенно когда нужно запомнить несколько паролей. Естественно, человек должен попытаться придумать то, что ему будет легко запомнить. Один из способов сделать это — превратить предложение или фразу во что-то, что не легко узнать другим. Для этого используйте первую букву каждого слова в предложении, заменяя определенные слова числами или символами.Например, слово « на » можно заменить цифрой 4 или слово « номер » символом #. При использовании этого метода пароль, такой как « Сохраните номер на потом в году », может читать St # 4LITY .

Меры защиты паролем

Пароли, несомненно, необходимы для безопасности, но это не единственный метод, который можно или нужно использовать для защиты своих компьютеров и устройств. Помимо создания надежного пароля, люди должны научиться его защищать и использовать его с умом.Это означает, что никогда не делитесь им и, если не можете вспомнить, храните письменную копию в безопасном месте.

Другие меры безопасности, помимо паролей, включают предоставление личной информации только на зашифрованных веб-сайтах. Зашифрованный веб-сайт можно легко распознать по наличию https в начале веб-адреса. Программное обеспечение компьютерной безопасности также имеет решающее значение, когда дело доходит до защиты компьютеров, и как программное обеспечение безопасности, так и прошивка на мобильных устройствах должны регулярно обновляться.

Меры безопасности, такие как пароли, имеют решающее значение, когда речь идет о предотвращении несанкционированного доступа к компьютеру и мобильным устройствам. В современном мире хакеры и другие киберпреступники постоянно находят новые способы получить доступ к этим устройствам, чтобы украсть или использовать внутреннюю информацию. Однако неосторожное использование паролей может привести к тому, что компьютерные устройства останутся незащищенными. По этой причине люди должны тщательно создавать и защищать свои пароли.

Дополнительная информация и ресурсы

Щелкните любую из следующих ссылок, чтобы узнать больше о важности использования надежных и безопасных паролей.

• Защита вашей личной информации с помощью безопасных паролей : Министерство внутренней безопасности США рассматривает потребность в безопасных паролях для мобильных устройств, электронной почты и т. Д. Что можно и чего нельзя делать при создании надежного пароля, перечислены в центре страницы.
• Защитите свое мобильное устройство : Информация о том, как обеспечить безопасность смартфонов, планшетов и других мобильных устройств, представлена ​​на этом веб-сайте Калифорнийского университета в Сан-Диего. Информация включает создание кода доступа или ПИН-кода, обновления, шифрование конфиденциальных данных и резервное копирование данных.
• Пять основных мер безопасности для защиты вашего бизнеса — независимо от его размера : PCWorld обсуждает пять способов, с помощью которых предприятия могут обеспечить компьютерную безопасность. В этот список из пяти мер входит использование диспетчера паролей.
• Как создавать надежные пароли : Щелкните по этой ссылке, чтобы узнать, почему так важно создавать надежные компьютерные пароли и что необходимо, чтобы сделать их надежными. На странице также представлен список вещей, которые люди не должны делать или использовать при создании пароля.
• Сохраняйте безопасность с помощью надежных паролей : Техасский университет в Остине предоставляет эту статью с полезными советами по созданию надежных компьютерных паролей. Также дается объяснение того, как хакеры воруют пароли.
• Советы по изменению и запоминанию паролей : Эта ссылка предоставляет информацию для людей, которые заинтересованы в том, как изменить свои пароли и создать более надежные и безопасные. Также даются советы о том, как их безопасно запомнить.
• Безопасность персональных компьютеров : Обсуждаются важность и типы компьютерной безопасности. В статью включена информация о безопасности доступа, шифровании, брандмауэрах и других способах защиты от хакеров.
• Цифровая самозащита : как создать безопасный пароль : эта брошюра в формате PDF содержит информацию о том, что такое безопасный пароль и зачем он нужен, как выбрать и запомнить его, а также как его защитить. Также обсуждаются пароли-сейфы и когда менять пароли.Хотя информация на этой странице предназначена для студентов Рочестерского технологического института, большая часть информации представляет ценность для всех.
• Совет по безопасности Выбор и защита паролей : Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) предоставляет информацию о необходимости и создании паролей. Любой, кто нажимает на эту ссылку, также может прочитать о способах защиты паролей после их выбора.
• Компьютерная безопасность : При нажатии на эту ссылку в OnGuardOnline открывается страница о мерах компьютерной безопасности.gov веб-сайт. На этой странице читателям предоставляется информация о том, как защитить свою личную информацию от мошенников, хакеров и других типов киберпреступников.

паролей — безопасный Интернет

Пароли обычно используются вместе с вашим именем пользователя. Однако на защищенных сайтах они также могут использоваться вместе с другими методами идентификации, такими как отдельный PIN-код и / или запоминающаяся информация. В некоторых случаях вам также будет предложено ввести только определенные символы вашего пароля для дополнительной безопасности.

Риск использования ненадежных паролей и отсутствия отдельного пароля для учетной записи электронной почты

• Люди, выдающие себя за вас с целью совершения мошенничества и других преступлений, в том числе:
  • Доступ к вашему банковскому счету
  • Покупка товаров в Интернете за деньги
  • Выдает себя за вас в социальных сетях и на сайтах знакомств
  • Отправка писем от вашего имени
  • Доступ к частной информации, хранящейся на вашем компьютере

Выбор лучших паролей

Сделать:

• Всегда используйте пароль. & * () _ +.(например, [email protected] — вариант человека-паука, с буквами, цифрами, заглавными и строчными буквами). Однако имейте в виду, что некоторые из этих знаков препинания может быть трудно ввести на внешней клавиатуре. Также помните, что замена букв на числа (например, E на 3 и i на 1) — это методы, хорошо известные преступникам.
• Строка песни, которую другие люди не будут ассоциировать с вами.
• Девичья фамилия чужой матери (не девичья фамилия вашей матери).
• Выберите известную вам фразу, например «Бродяги, такие как мы, детка, мы рождены, чтобы бежать» »и возьмите первый символ из каждого слова, чтобы получить« tlu, bwwbtr »

Не нужно:

• Используйте следующие пароли:
  • Ваше имя пользователя, настоящее имя или название компании.
  • Имена членов семьи или домашних животных.
  • Ваши дни рождения или дни рождения в семье.
  • Любимый футбол или команда Формулы-1, или, другими словами, легко разобраться с небольшими базовыми знаниями.
  • Слово «пароль».
  • Числовые последовательности.
  • Одно банальное словарное слово, которое может быть взломано обычными программами взлома.
  • При выборе цифровых кодов доступа или PIN-кодов не используйте возрастающие или убывающие числа (например, 4321 или 12345), повторяющиеся числа (например, 1111) или легко узнаваемые шаблоны клавиатуры (например, 14789 или 2580).

Хранение ваших паролей

• Никогда не разглашайте свои пароли никому. Если вы думаете, что кто-то знает ваш пароль, немедленно измените его.
• Не вводите пароль, когда другие видят, что вы вводите.
• Регулярная смена паролей не рекомендуется, если только учетные записи, к которым они применяются, не были взломаны. В этом случае их следует изменить немедленно. Это также применимо, если другая учетная запись или веб-сайт, для которого вы используете те же данные для входа, были взломаны.
• Используйте разные пароли для каждого веб-сайта. Если у вас только один пароль, преступник просто должен взломать его, чтобы получить доступ ко всему.
• Не перерабатывайте пароли (например, пароль2, пароль3).
• Если вам необходимо записывать пароли, чтобы их запомнить, зашифруйте их способом, который вам знаком, но сделает их неразборчивыми для других.
• Альтернативой записи паролей является использование онлайн-хранилища паролей или сейфа. Ищите рекомендации и убедитесь, что тот, который вы выберете, безопасен и заслуживает уважения.
• Не отправляйте свой пароль по электронной почте. Ни одна уважаемая фирма не попросит вас об этом.

Тот факт, что вы должны использовать разные пароли для каждой из ваших учетных записей, может затруднить их запоминание. Подумайте об использовании одного из многих хранилищ паролей, доступных в Интернете, но прочтите обзоры и получите рекомендации.

Менеджеры паролей

Существует ряд менеджеров паролей (также известных как хранилища паролей, сейфы или, возможно, другой термин), доступных для вашего использования — некоторые платные, некоторые бесплатные.Это позволяет вам хранить все свои пароли в одном легкодоступном месте, так что вам не нужно их все запоминать или записывать. Вам просто нужно запомнить один набор данных для входа.

Вы должны прочитать отзывы или получить личные рекомендации, прежде чем вводить свои пароли в хранилище паролей. Что бы вы ни выбрали, мы рекомендуем использовать двухфакторную аутентификацию (2FA) — другими словами, он отправляет код на ваш мобильный телефон или другое устройство, которое вам нужно ввести в хранилище паролей, чтобы получить доступ. например, когда вы подтверждаете платеж через интернет-банк.

Для дополнительной безопасности мы рекомендуем вам каким-либо образом зашифровать пароли перед их вводом в хранилище, хотя мы понимаем, что для обычного пользователя это не всегда практично.

Управление учетными записями пользователей

Каждому, кто пользуется компьютером, должна быть назначена собственная учетная запись пользователя, чтобы только он мог получить доступ к своим файлам и программам. Каждая учетная запись пользователя должна быть доступна только после ввода имени пользователя и пароля в целях защиты конфиденциальности пользователей.

Не используйте учетную запись с правами администратора для повседневного использования, поскольку вредоносные программы могут получить права администратора. Даже если вы единственный пользователь, настройте учетную запись администратора для использования, когда вам нужно выполнять такие задачи, как установка программ или изменение конфигурации системы, а также другую учетную запись «стандартного пользователя» в качестве обычной учетной записи. Если вы не вошли в систему как администратор, вам будет предложено ввести пароль администратора при установке нового драйвера устройства или программы.Вы можете управлять учетными записями пользователей в Панели управления Windows.

Найдите пароль в Get Safe Online на Vimeo.

паролей — сильные и слабые стороны

Пароли — это наиболее распространенная форма аутентификации, используемая для управления доступом к информации, начиная от личных идентификационных номеров, которые мы используем для банкоматов, кредитных карт, телефонных карт и систем голосовой почты, до более сложных буквенно-цифровых паролей, защищающих доступ к файлам. , компьютеры и сетевые серверы.Пароли широко используются, потому что это простые, недорогие и удобные механизмы для использования и реализации.

В то же время пароли также считаются крайне плохой формой защиты. По оценкам группы реагирования на компьютерные чрезвычайные ситуации (CERT), около 80% сообщенных им инцидентов безопасности связаны с плохо подобранными паролями. Проблемы с паролем очень трудно решить, потому что в одной локальной компьютерной сети могут быть сотни или тысячи учетных записей, защищенных паролем, и нужно взломать только одну, чтобы злоумышленник мог войти в локальную систему или сеть.С сегодняшним взаимосвязанным Интернетом проблемы потенциально разрушительны в еще большем масштабе; Опытный злоумышленник может проникнуть в одну систему и никогда не причинить ей вреда, вместо этого используя ее как платформу для атак на миллионы целей.

В этой главе будут представлены некоторые рекомендации по выбору паролей и управлению ими, а также будут описаны некоторые типы парольных атак, а также возможные меры предосторожности и средства защиты.

Запрос на комментарии (RFC) 1244 предлагает некоторые рекомендации по выбору и поддержке паролей.Эти рекомендации, которые должны быть частью руководства по безопасности любого сайта, включают:

• Не используйте свой логин или имя пользователя в какой-либо форме (как есть, перевернутые, заглавные, удвоенные и т. Д.)
• Не используйте свое имя, отчество или фамилию в какой-либо форме.
• Не используйте имя супруга / супруги, второй половинки, детей, друзей или домашних животных в какой-либо форме.
• Не используйте другую информацию о вас, которую легко получить, включая дату вашего рождения, номерной знак, номер телефона, номер социального страхования, марку вашего автомобиля, адрес дома и т. Д.
• Не используйте код , состоящий из всех цифр или одинаковых букв.
• Не используйте слова, содержащиеся в словарях английского или иностранных языков, списках правописания, списках сокращений или сокращений или других списках слов.
• Не используйте пароль, содержащий менее шести символов.
• Не сообщайте свой пароль другому лицу ни по какой причине.
• Используйте ли пароль с символами смешанного регистра (если поддерживается).
• Использовать ли пароль, содержащий неалфавитные символы (цифры и / или знаки препинания)
• Используйте пароль, который легко запомнить, так что вам не нужно его записывать.
• Используйте пароль, который можно быстро ввести, не глядя на клавиатуру.

Существует множество механизмов, которые люди могут использовать для создания паролей, соответствующих этим рекомендациям.Один из таких механизмов, позволяющий выбрать какое-нибудь известное выражение, текст песни или диалог и получить пароль по первой букве каждого слова. Например, фраза Быть или не быть; то есть вопрос может быть основанием для пароля 2bon2bTIT? . Этот пароль имеет смешанный регистр, состоящий из букв, цифр и знаков препинания, и имеет длину более 6 символов. Другая схема состоит в чередовании одного согласного и одной или двух гласных, до семи или восьми знаков; это создает бессмысленные слова, которые обычно произносятся и, следовательно, легко запомнить.Либо выберите два или более коротких слова и соедините их, поставив между ними знак препинания.

Некоторые системы используют программы, которые автоматически генерируют пароли; в некоторых случаях они даже генерируют имена пользователей. Эксперты по компьютерной безопасности встречают разные мнения об этих системах. С одной стороны, случайные пароли, сгенерированные программой, практически невозможно угадать или взломать с помощью словарного подхода. С другой стороны, их обычно так сложно запомнить, что пользователям приходится записывать их, что создает еще одну проблему с безопасностью.Эти системы также обычно не позволяют пользователям изменять свой пароль, но периодически назначают новый случайный пароль.

Некоторые сайты используют программу для присвоения логинов и паролей. Имя пользователя — это некоторая арифметическая функция реального имени пользователя, номера сотрудника, даты рождения и / или другого идентификатора, так что Пэту Джонсу может быть присвоено имя пользователя zx2Haqqt . Такая форма задания только усугубляет проблему; Пэт почти наверняка запишет и имя пользователя , и пароль на листке бумаги, приклеенном к компьютеру! Хотя на самом деле нет необходимости хранить имя пользователя в секрете, поскольку оно становится известным, как только человек отправляет свое первое сообщение электронной почты, это предполагает, что идентификаторы электронной почты должны отличаться от сетевых имен пользователей, где это возможно.

Есть связанная с этим проблема, и это то, что у людей есть слишком много паролей. Одна из причин этого — во всемирной паутине (WWW). Все большее количество веб-сайтов просят пользователей зарегистрироваться, запрашивая как имя пользователя, так и пароль. Поскольку большая часть этих регистраций бесплатна и используется только в маркетинговых целях, а не в целях безопасности, результатом является быстрое увеличение количества паролей. Некоторые пользователи используют один и тот же пароль для каждого местоположения; но если скомпрометирован один пароль, то все.Другие выбирают разные пароли на каждом сайте и в конечном итоге вынуждены их записывать. Тоже не лучшее решение.

Пароли — слабая форма защиты по многим причинам. Одна из основных причин заключается в том, что пароли зависят от самого слабого звена в цепочке компьютерной и сетевой безопасности; а именно, человек-пользователь. Большинство пользователей думают, что процедуры безопасности — это либо шутка, игра, которую несут системные и сетевые администраторы, либо паранойя.В результате они не уделяют достаточного внимания правильному выбору паролей и их защите.

Есть несколько способов, которыми злоумышленник может атаковать защищенные паролем системы. Самая распространенная форма атаки — пароль, угадывающий . Люди часто выбирают собственное имя, логин, номер телефона или какой-либо вариант в качестве пароля; затем они выбирают имя членов семьи или друзей, домашних животных, особые интересы или какой-либо вариант. И как злоумышленник находит эту информацию? Во многих случаях это просто.Утилита Finger, известная уязвимость системы безопасности, ожидающая использования, отображает статус всех активных в данный момент пользователей с указанием имени пользователя — одного элемента информации, без которого злоумышленник не может обойтись. В списках пальцев ¹ также отображается настоящее имя пользователя; файлы PLAN.TXT и PROJECT.TXT часто содержат дополнительную личную информацию, с помощью которой злоумышленник может запустить атаку подбора пароля, а также информацию о последнем входе в систему. Интернет-страницы многих людей содержат еще больше личной информации.

Также удивительно, как много сайтов выбирают очевидные пароли для некоторых учетных записей или не меняют заводские настройки для некоторых учетных записей. В системах VAX / VMS компании Digital, например, учетные записи SYSTEM и FIELD имеют заранее заданные пароли MANAGER и SERVICE соответственно. Курсы для системных администраторов и выездной обслуживающий персонал советуют системному администратору изменить оба пароля и даже отключить их, когда они не используются; эти простые меры предосторожности часто игнорируются. ² Многие системы даже предоставляют гостевую учетную запись без пароля, но строго не ограничивают возможности этой учетной записи.

Обычной защитой от атак подбора пароля является функция, называемая черным списком , которая ограничивает количество последовательных неудачных попыток входа в систему. В типичной реализации счетчик попытки входа в систему устанавливается в ноль после успешного входа в систему и увеличивается после любой неудачной попытки входа в систему.Если счетчик когда-либо достигает порога черного списка (обычно от 3 до 7), вход в учетную запись отключается, даже если указан правильный пароль.

Поскольку почти все компьютерные системы хранят пароли в той или иной зашифрованной форме, считайте пароль ключом к криптографической системе. Криптографические системы обеспечивают большую безопасность по мере увеличения размера ключа, что позволяет предположить, что пароли становятся более безопасными по мере увеличения их длины. В этом наблюдении есть доля правды. Однако более длинный пароль не так надежен по сравнению с более коротким паролем, как можно было бы подумать.Это связано с ограничениями, налагаемыми некоторыми компьютерными системами, и тем, как люди выбирают пароли.

Рассмотрим следующий пример [Cheswick & Bellovin]. Большинство систем Unix ограничивают длину паролей восемью символами или 64 битами. Но Unix использует только семь значащих битов каждого символа в качестве ключа шифрования, уменьшая размер ключа до 56 бит. Но даже это не так хорошо, как могло бы показаться, потому что 128 возможных комбинаций из семи бит на символ не равновероятны; пользователи обычно не используют управляющие символы или не буквенно-цифровые символы в своих паролях.Фактически, большинство пользователей используют только строчные буквы в своих паролях (а некоторые системы паролей в любом случае нечувствительны к регистру). Суть в том, что обычный английский текст из 8 букв имеет информационное содержание около 2,3 бита на букву, что дает длину ключа 18,4 бита для паролей из 8 букв, составленных из английских слов. Многие люди выбирают имена в качестве пароля, и это дает еще более низкое информационное содержание около 7,8 бит для всего 8-буквенного имени. По мере того, как фразы становятся длиннее, каждая буква добавляет только около 1.От 2 до 1,5 бит информации, что означает, что 16-буквенный пароль, использующий слова из английской фразы, дает только 19-24-битный ключ, что совсем не то, что мы могли бы ожидать в противном случае.

Таблицы 1 и 2, полученные от [Schneier], предлагают другой способ взглянуть на ситуацию.В таблице 1 показано возможное количество ключей, сгенерированных с помощью 4-, 5-, 6-, 7- и 8-октетного пароля при различных ограничениях на ввод. В таблице 2 указано время, необходимое для выполнения исчерпывающего поиска всех возможных ключей с процессором, способным проверять один миллион ключей в секунду. Очевидно, что, хотя более длинные пароли обеспечивают лучшую защиту, чем более короткие, пароли, в которых используется более широкая комбинация возможных битовых комбинаций, лучше, чем пароли с жесткими ограничениями.

Эти таблицы показывают, почему секрет, имеющий 64 бита случайности, обычно считается безопасным; вычислительно невозможно найти 2 ⁶⁴ возможных ключей. А сколько символов нужно в пароле для генерации 64-битного ключа?

• Если используются случайные символы из буквенно-цифрового набора, потребуется 11-значный пароль.К сожалению, пользователи вряд ли запомнят случайно выбранную 11-символьную строку.
• Если выбраны произносимые пароли, каждый символ вносит около 4 бита в размер ключа, поэтому подойдет пароль из 16 символов. Это тоже гораздо более длинный пароль, чем люди могут запомнить.
• Если людям разрешено выбирать свой собственный пароль, общепринятое мнение гласит, что каждый символ содержит только 2 бита, поэтому длина пароля должна быть 32 символа.Это тоже слишком долго.

Итак, что мы можем сделать вывод? Дело в том, что любой секрет — в данном случае пароль — который большинство людей запоминает и набирает на регулярной основе, будет не так хорош, как 64-битное случайное число. Таким образом, пароли будут открыты для атак с подборами в той или иной форме.

Хотя пароли являются слабой формой защиты, их простота упрощает их использование и администрирование.Если пользователи убеждены в своей ценности, при наличии соответствующего образования и некоторой осторожности, пароли могут обеспечить адекватную защиту. Обратите также внимание на то, что пароли — это форма защиты «то, что вы знаете»; будучи уязвимыми для атак при использовании по отдельности, они довольно эффективны в сочетании с системами «то, что у вас есть» (например, удостоверение личности) или «что вы есть» (например, сканирование руки или голосовая печать).

Системные и сетевые администраторы должны создать политики и процедуры для безопасности сайта, включая администрирование паролей.Пользователи должны быть осведомлены об этих политиках, их мотивации и последствиях несоблюдения. Обязательно помнить, что массовый успех не является обязательным в отношении парольных атак; с сотнями тысяч компьютеров в Интернете, каждый из которых имеет сотни или тысячи учетных записей пользователей, хорошо осведомленному злоумышленнику достаточно лишь нескольких успешных точек входа, чтобы нанести значительный ущерб.

Чесвик, В.Р. и С.М. Белловин. Межсетевые экраны и безопасность в Интернете: отражение коварного хакера . Ридинг (Массачусетс): Аддисон-Уэсли, 1994.

Коэн, Ф. Защита и безопасность на информационной супермагистрали . Нью-Йорк: Джон Вили и сыновья, 1995.

Министерство обороны. Правила управления паролями . CSC-STD-002-85, 12 апреля 1985 г.

Haller, N. Система одноразовых паролей S / KEY .RFC 1760. Bellcore. Февраль 1995 г.

_____ и Р. Аткинсон. При проверке подлинности в Интернете . RFC 1704. Bellcore и военно-морская исследовательская лаборатория. Октябрь 1994 г.

Холбрук, П. и Дж. Рейнольдс, редакторы. Руководство по безопасности сайта . FYI 8 / RFC 1244, CICNet и ISI, июль 1991 г.

Кауфман, К., Р. Перлман и М. Спекинер. Сетевая безопасность: частное общение в публичном мире .Энглвудские скалы (Нью-Джерси): Prentice Hall PTR, 1995.

Шнайер, Б. Прикладная криптография: протоколы, алгоритмы и исходный код в C , 2-е изд. Нью-Йорк, John Wiley & Sons, 1996.

Столл, К. Яйцо кукушки: отслеживание шпиона в лабиринте компьютерного шпионажа . Нью-Йорк: Даблдей, 1989.

СНОСКИ

1. Обсуждение демона Finger выходит за рамки этой главы.Тем не менее, стоит упомянуть, что многие сайты отключают этот демон или изменяют программу так, чтобы она отображала только текстовый файл, содержащий стандартное приветственное сообщение, а не текущую статистику пользователей. Некоторые сайты отображают здесь поддельную информацию о пользователе и отслеживают, предпринимаются ли какие-либо попытки входа в какую-либо из этих учетных записей, что является верным признаком потенциальной атаки, а не добросовестной ошибки. (Вернуться к основному тексту.)
2. Если вы в это не верите, прочитайте статью Столла Яйцо кукушки .(Вернуться к основному тексту.)

Что можно и чего нельзя делать с паролем — Krebs on Security

Вот несколько советов по созданию надежных паролей. Найдите минутку, чтобы просмотреть их, и подумайте о том, чтобы укрепить некоторые из ваших паролей, если они не подходят.

-Создайте уникальные пароли, которые используют комбинацию слов, цифр, символов, а также букв верхнего и нижнего регистра.

-Не используйте имя пользователя в сети в качестве пароля.

-Не используйте легко угадываемые пароли, такие как «пароль» или «пользователь».”

-Не выбирайте пароли на основе данных, которые могут быть не такими конфиденциальными, как вы ожидаете, таких как дата вашего рождения, ваш номер социального страхования или номер телефона, или имена членов семьи.

-Не используйте слова, которые можно найти в словаре. Инструменты для взлома паролей, свободно доступные в Интернете, часто содержат списки словарей, в которых можно попробовать тысячи общепринятых имен и паролей. Если вам необходимо использовать слова из словаря, попробуйте добавить к ним числа, а также знаки препинания в начале или в конце слова (или в обоих случаях!).

-Избегайте использования простых сочетаний клавиш рядом: например, «qwerty», «asdzxc» и «123456» — ужасные пароли, которые легко взломать.

-Некоторые из самых простых для запоминания паролей — это вовсе не слова, а совокупности слов, которые образуют фразу или предложение, возможно, вступительное предложение вашего любимого романа или начальную строку хорошей шутки. Сложность — это хорошо, но главное — длина. Раньше выбор буквенно-цифрового пароля длиной от 8 до 10 символов был довольно хорошей практикой.В наши дни становится все более доступным создание чрезвычайно мощных и быстрых инструментов для взлома паролей, которые могут пробовать десятки миллионов возможных комбинаций паролей в секунду. Просто помните, что каждый символ, который вы добавляете в пароль или кодовую фразу, на порядок усложняет атаку с помощью методов грубой силы.

-Избегайте использования одного и того же пароля на нескольких веб-сайтах. Как правило, безопасно повторно использовать один и тот же пароль на сайтах, которые не хранят конфиденциальную информацию о вас (например, на новостных сайтах), при условии, что вы не используете тот же пароль на сайтах, которые являются конфиденциальными.

-Никогда не используйте пароль, который вы выбрали для своей учетной записи электронной почты на любом онлайн-сайте: если вы это сделаете, и сайт электронной коммерции, на котором вы зарегистрированы, будет взломан, есть большая вероятность, что кто-то скоро будет читать вашу электронную почту.

— Что бы вы ни делали, не храните список паролей на компьютере в виде обычного текста. Мои взгляды на целесообразность ведения письменного списка паролей со временем изменились. Я склонен согласиться с известным экспертом по безопасности Брюсом Шнайером , когда он советует пользователям не беспокоиться о записи паролей.Только убедитесь, что вы не храните информацию на виду. Самый безопасный метод запоминания ваших паролей — это создать список всех веб-сайтов, для которых у вас есть пароль, и рядом с каждым из них написать свое имя для входа и подсказку, которая имеет значение только для вас. Если вы забудете свой пароль, большинство веб-сайтов отправят его вам по электронной почте (при условии, что вы помните, с какого адреса электронной почты вы регистрировались).

— Одно замечание о хранении паролей в Firefox: если вы не включили и не назначили «мастер-пароль» для управления паролями в Firefox, любой, у кого есть физический доступ к вашему компьютеру и учетной записи пользователя, может просматривать сохраненные пароли в виде обычного текста, просто нажав «Параметры», а затем «Показать пароли».»Чтобы защитить свои пароли от посторонних глаз, поставьте галочку в поле рядом с« Использовать мастер-пароль »на главной странице параметров и выберите надежный пароль, который сможете запомнить только вы. Затем вам будет предложено ввести мастер-пароль один раз за сеанс при посещении сайта, который использует один из ваших сохраненных паролей.

-Существует несколько сторонних онлайн-сервисов, которые могут помочь пользователям защитить конфиденциальные пароли, в том числе LastPass, DashLane и 1Password, которые хранят пароли в облаке и защищают их все с помощью мастер-пароля.Если передача всех ваших паролей облаку вызывает неприятные ощущения, подумайте об использовании локальной программы хранения паролей на вашем компьютере, такой как Roboform, PasswordSafe или Keepass.