Нажмите "Enter", чтобы перейти к содержанию

Какие пароли можно придумать: как придумать и не забыть надежный пароль». Портал ПЛАС

Содержание

как придумать и не забыть надежный пароль». Портал ПЛАС

Главная » Архив » Новости » Безопасность » Эксперты: как придумать и не забыть надежный пароль

Рецепт надежного пароля заключается в его длине, периодическом обновлении, а также в способе хранения — не забыть секретный код помогут специальные менеджеры паролей или обычный бумажный листок в кошельке, рассказали опрошенные РИА Новости эксперты.

«Пароль – это один из важнейших факторов цифровой безопасности. С одной стороны, сегодня люди стали более ответственно относиться к своим данным и аккаунтам, но, с другой стороны, общий уровень цифровой грамотности все еще не так высок», — уверен эксперт «Лаборатории Касперского» Дмитрий Галов. По данным исследования Kaspersky, отдельные пароли для каждого онлайн-аккаунта создают только 39% россиян.

Возмещение ущерба по страховкам для карт поддерживают не все

По словам главы представительства Avast в России и СНГ Алексея Федорова

, идеальный пароль представляет собой комбинацию цифр, знаков препинания, прописных и строчных букв, а его длина — не менее 16 символов. В пароле не должны указываться имена, название сервиса, дата рождения или любая другая информация, которую можно легко найти в интернете.

«К сожалению, многие пользователи небрежно относятся к этому вопросу. Часто злоумышленники, получив логин и пароль от учетной записи на слабозащищенном сервере после утечки данных, пробуют применить его ко всем остальным сервисам. В случае, если один и тот же пароль используется на разных учетных записях, у злоумышленников это получится», — отметил А. Федоров из Avast.

Основатель компании DeviceLock Ашот Оганесян сообщил, что придумать пароль можно при помощи мнемонических правил. «Например, составить длинное предложение, первые буквы слов, цифры и знаки препинания которого составят пароль. Если же пароль будет использоваться на компьютере или доверенных мобильных устройствах и храниться в связке ключей или в менеджере паролей, то лучше сделать его полностью случайным, например, при помощи генератора надежных паролей, встроенного в менеджер или новые браузеры», — предложил он.

Руководитель «Агентства кибербезопасности» Евгений Лифшиц советует не хранить пароли в устройствах. «Всего одна утечка из любого места, и все ваши аккаунты будут скомпрометированы. … Раньше рекомендовали ни в коем случае не писать пароль на листке рядом с монитором, сейчас, когда мошенник скорее всего залезет через интернет, а не через окно, логичнее рекомендовать не хранить пароли в чатах, в облаке и в текстовом файле на сервере. А вот на листочке, который у вас где-то в рабочей папке или бумажнике — как раз вполне», — считает он.

Оптимальный срок жизни для пароля — от трех до шести месяцев, добавил директор департамента корпоративных продаж ESET Russia

Антон Пономарев.

«Придумайте забавное слово или фразу, добавьте пару цифр наугад и запишите в блокнот так, чтобы никто не видел, спрячьте его. Когда пароль запомнится – уничтожьте. Не меняйте пароли перед отпуском – точно не вспомните, лучше применить процедуру восстановления. Обязательно включите двухфакторную аутентификацию (подтверждения по смс). Для ваших критичных систем (хранящих важную информацию — ред.) освойте токены и меняйте их раз в квартал, или если возникли подозрения в их компрометации», — советует директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.

По материалам РИА Новости

PLUSworld в соцсетях:

Как придумать надежный пароль и не забыть его

Если вы боитесь забыть пароль и вводите одну и ту же комбинацию на всех сайтах, то эта инструкция для вас.

По статистике человек регистрируется примерно на 26 сайтах, при этом он не создает отдельную комбинацию для каждого их них. Хорошо, если есть хотя бы пять вариаций, не повторяющих друг друга. Такой подход развязывает руки мошенникам, которые при взломе получают доступ к остальным данным пользователя.

Содержание статьи

Как придумать надежный пароль для почты

Не используйте личные данные

Никаких девичьих фамилий (даже матери), номера школы, клички питомца и т. п. Все это о вас можно получить из соцсетей в открытом режиме.

Никаких простых слов или последовательностей цифр

«йцукен» или 123456789 — не для вас. Они взламываются с легкостью, методом программного перебора. Так, можете поэкспериментировать на сайте howsecureismypassword.net, чтобы определить, какие комбинации сколько займут времени для подбора. Разумеется, свои реальные пароли там вводить не надо. Идеальный пароль сочетает в себе и буквы, причем в разных рЕгисТраХ (вот так, да) и цифры.

Контрольное слово

Да-да, как в банке. Как придумать надежный пароль? Чтобы не забыть свой пароль, придумайте слово, которое вы будете постоянно использовать, и цифровую комбинацию к нему — это постоянная часть пароля. А переменной частью будет название сайта, на котором вы его вводите. Например, выбрали постоянной частью «RaDuGA1812@». И для регистрации на, допустим, в соцсети, комбинируете пароль в «RaDuGA1812@_Fb»

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Русские слова на латинице

Если у вас есть двуязычная клавиатура, вы можете еще больше усложнить задачу. То же самое слово «радуга», набранное по-русски при включенной английской раскладке будет писаться как «hfleuf». Для программ взламывания паролей это усложнит задачу. Алгоритм подбора в некоторых из них идет в первую очередь по словарю существующих слов.

Как придумать надежный пароль в Одноклассниках и не только

Буквы-цифры

Вначале ставьте буквы, потом цифры. Это имеет значение. В одном знаке пароля может содержаться 10 вариантов цифры (0−9) и 26 вариантов букв. Когда идет по-знаковый подбор пароля, программа выдает взломщику ожидаемое время взлома. Оно, в среднем, составляет от нескольких минут — до суток. Если в начале пароля буквы, то ожидаемое расчетное время взлома больше. Таким образом, если ваш аккаунт «не заказали» персонально, а ломают просто ради развлечения — с большой вероятностью взломщик предпочтет искать более легкие жертвы.

Разные пароли для разных целей

Какой можно придумать надежный пароль? Например, используйте базовую часть «RaDuGA1812@» для почты и соцсетей, пусть она будет основной и постоянной. А, какой-нибудь «eHoT442@_» — для интернет-магазинов, куда вы заглядываете раз-другой. Для онлайн-игр, где взломы аккаунтов постоянное явление, заведите себе третий тип пароля.

25+ Статистика паролей, которая может изменить ваши привычки в отношении паролей

Мы финансируемся нашими читателями и можем получать комиссию, когда вы покупаете по ссылкам на нашем сайте.

Большинство людей, регулярно пользующихся Интернетом, должны иметь дело с десятками паролей. Узнайте удивительную статистику паролей, факты и тенденции и узнайте, как обращаться со своими паролями.

Эйми О’Дрисколл ЭКСПЕРТ ПО VPN И КИБЕРБЕЗОПАСНОСТИ

ОБНОВЛЕНО: 24 марта 2023 г.

В наши дни трудно обойтись без ввода паролей для нескольких онлайн-аккаунтов. Между работой и личной жизнью средний интернет-пользователь имеет десятки защищенных паролем учетных записей.

Придумать безопасные пароли и запомнить их все может быть проблемой. Это во многом объясняет, почему так много людей используют слабые пароли и одинаковые или похожие пароли для нескольких учетных записей. Если это похоже на вас, вы не одиноки.

Читайте дальше, чтобы узнать удивительную статистику паролей и тенденции, которые могут изменить ваше отношение к паролям. Если вы хотите повысить свою онлайн-безопасность, мы даем несколько советов по выбору паролей и управлению ими в конце этого поста.

Статистика и тенденции пароля

Мы собрали наиболее интересные факты и статистику пароля, основанные на недавних исследованиях:

1. 75% американцев разочарованы паролями

Исследование 2019 года, проведенное Google в связи с опросом Harris, обнаружили, что отслеживание паролей является источником фрустрования для большинства американов. Колоссальные трое из четырех респондентов говорят, что у них проблемы с паролями.

Источник: Google

2. Самые популярные пароли очень легко угадать

Сложность отслеживания нескольких паролей приводит к тому, что люди используют легко запоминающиеся (и легко угадываемые) пароли. По данным NordPass, самыми распространенными паролями в 2022 году были:

  1. пароль
  2. 123456
  3. 123456789
  4. гость
  5. QWERTY

Столь же тревожными были выводы Google о том, что почти четверть (24%) американцев использовали некоторые варианты следующих слабых паролей: 

abc123 Пароль , 123456 , Iloveyou , 111111 , Qwerty , Admin и Добро пожаловать 9 0046 .

Ясно, что все это очень просто догадаться и поэтому обеспечивает очень слабую защиту. Это подтверждается выводами Google: из 27% американцев, которые пытались угадать чей-то пароль, 17% угадали его правильно.

3. 59% используют свое имя или дату рождения в своем пароле

Даже если люди достаточно умны, чтобы не использовать упомянутые выше пароли, большинство пользователей, опрошенных Google, включили в свои пароли легко обнаруживаемую личную информацию, такую ​​как имя или дату рождения.

Другие распространенные ошибки включают использование имен домашних животных, супругов или детей — по данным Mozilla, почти 400 000 паролей содержали имя «Джошуа», причем около 141 000 человек включали «Изабелла» в свои пароли.

4. 43% делились своим паролем с кем-либо

Почти половина респондентов Google сообщили, что когда-либо разглашали пароль. Конечно, 57% из них поделились ею со своими близкими, что облегчает усвоение статистики. Однако только 11% меняют пароль после расставания. Это может объяснить, почему в Калифорнии 10% участников опроса имеют пароль бывшего партнера, бывшего соседа по комнате или коллеги.

Источник: Google

5. 20% поделились своим паролем от учетной записи электронной почты

Можно подумать, что пароль от вашей учетной записи электронной почты — это последнее, чем вы хотели бы поделиться с кем-либо, но пятая часть пользователей, опрошенных Google, сделали именно это. Более того, 22% поделились своим паролем для потокового сайта, 17% — для платформы социальных сетей и 17% — для учетной записи онлайн-покупки.

6. Только 45% меняют пароль после взлома

Согласно опросу Google, менее половины американцев заявили, что они изменили бы пароль онлайн-аккаунта, если бы обнаружили, что он был взломан. И это несмотря на то, что 40% признают, что их личная информация была раскрыта в Интернете, 47% потеряли деньги из-за раскрытия информации, а 38% пожертвовали временем в результате утечки данных.

7. Для взлома 12-значного пароля требуется в 62 триллиона раз больше времени, чем для взлома шестизначного пароля

Задумывались ли вы, почему длина пароля так важна? Каждый добавляемый персонаж значительно усложняет взлом. Например, если предположить, что все символы нижнего регистра и алфавит из 26 символов, существует около 3 x108 возможностей для шестизначного пароля. С другой стороны, как обсуждалось в Scientific American, существует около 19 x 1021 возможных вариантов для 12-символьного пароля со строчными и прописными буквами, цифрами и символами (скажем, 10 вариантов).

Для сравнения, если данный компьютер может взломать шестизначный пароль за одну секунду, то для взлома двенадцатизначного пароля все равно потребуется более двух миллионов лет.

8. 42% организаций полагаются на стикеры для управления паролями

В отчете Института Ponemon о состоянии паролей и безопасности аутентификации в 2020 году представлены результаты опроса более 3000 человек и ИТ-специалистов. Были некоторые неожиданные результаты, в том числе тот факт, что почти половина ИТ-специалистов сообщили, что стикеры используются для управления паролями в их организации.

Источник: Ponemon Institute

9.

ИТ-специалисты повторно используют пароли чаще, чем обычные пользователи

Другим неожиданным открытием стало то, что повторное использование паролей чаще встречается среди ИТ-специалистов (50% из них признались в повторном использовании паролей на рабочих учетных записях), чем среди других лиц (39% из которых были виновны в том же). ИТ-специалисты почти так же, как и другие люди, делились паролями с другими (51% и 49% соответственно).

Источник: Институт Понемона

Одна из наиболее шокирующих статистических данных заключалась в том, что после захвата учетной записи 75 процентов людей изменили способ защиты своих учетных записей и управления паролями, но гораздо меньший процент (65 процентов) ИТ-специалистов сделал то же самое.

10. Более половины пользователей предпочли бы альтернативный метод вместо паролей

Согласно отчету Института Ponemon, 55% частных лиц и ИТ-специалистов хотели бы защитить свои учетные записи альтернативным методом, не требующим использования паролей. Большинство людей ищут простоту использования в дополнение к лучшей безопасности.

Источник: Ponemon Institute

65% ИТ-специалистов и 53% индивидуальных пользователей считают, что биометрия обеспечивает лучшую безопасность.

11. Было обнаружено, что более 40 миллионов пользователей Microsoft повторно использовали пароли. Microsoft сканировала учетные записи своих пользователей, сравнивая имена пользователей и пароли с базой данных, содержащей более трех миллиардов наборов утекших учетных данных. Для пользователей, данные которых совпадали с набором учетных данных в базе данных, Microsoft принудительно сбрасывала пароль.

12. Почти две трети людей используют один и тот же пароль для нескольких учетных записей

Другое исследование Google, проведенное в 2019 году совместно с Harris Poll, показало, что 13 % людей повторно используют один и тот же пароль для всех учетных записей, а еще 52 % используют один и тот же пароль для нескольких (но не всех) онлайн-аккаунтов. Только 35% используют разные пароли для каждой учетной записи.

. Источник: Google. Это относится даже к сотрудникам из списка Fortune 500, 64 процента из которых используют один и тот же пароль для нескольких учетных записей.

13. Более трети людей имеют более 20 паролей

Согласно отчету HYPR, 37% людей имеют дело с более чем 20 паролями, и это только в их личной жизни. 19% также имеют более 10 паролей для работы.

В своем третьем ежегодном глобальном отчете о безопасности паролей компания LastPass определила, что количество рабочих паролей намного выше: 85 для сотрудников малого и среднего бизнеса и 25 для сотрудников крупных компаний. Эти цифры зависят от отрасли и страны. Сотрудники СМИ и рекламы управляют в среднем 97 рабочих паролей. Бельгийские рабочие имеют дело в среднем со 100 паролями.

Даже при таких высоких цифрах только половина предприятий предлагает решение для единого входа, которое позволяет сотрудникам входить в более чем одну учетную запись с одним паролем.

14. 42% полагаются на память для рабочих паролей

Bitwarden обнаружил, что по состоянию на 2022 год 42% полагаются на память для управления своими рабочими паролями. Возможно, еще более тревожным является то, что 53 % сообщили пароль по электронной почте, и только 24 % заявили, что никогда не делятся паролями.

15. 78% людей должны были сбросить свой пароль за последние три месяца

Исследование HYPR, проведенное в 2019 году, выявило высокий уровень сброса пароля. Более трех из четырех пользователей признались, что забыли личный пароль и сбрасывали его в течение последних 90 дней. Это число было немного ниже, когда речь шла о рабочих паролях, но тем не менее более половины (57 процентов) потребовали сброса рабочего пароля за тот же период времени.

Источник: HYPR

16. Сотрудники используют один и тот же пароль в среднем 13 раз

LastPass обнаружил, что сотрудники повторно используют пароль в среднем 13 раз. Повторно используемые пароли представляют огромный риск, поскольку кто-то, имеющий доступ к одному набору украденных или скомпрометированных учетных данных, может использовать их для взлома других учетных записей.

LastPass разбивает результаты по размеру компании, отрасли и стране. Больше всех страдают работники малого бизнеса. Те, кто работает в компаниях со штатом от 1 до 25 человек, повторно используют пароли в среднем 14 раз. Средства массовой информации и рекламные компании, безусловно, чаще всего используют пароли повторно, в среднем колоссальные 22 повторных использования пароля.

Что касается худших стран, то канадцы лидируют по повторному использованию паролей в среднем 15 раз, за ​​ними следуют несколько стран, включая Австралию и Бельгию, где пользователи склонны повторно использовать пароли в среднем 14 раз.

17. MFA блокирует 99,9% всех атак

Если для учетной записи включена многофакторная аутентификация (MFA), это означает, что для доступа к ней необходимо выполнить два или более шагов. Множественными факторами могут быть, например, пароль, текстовый или электронный код или биометрические решения.

В сообщении в блоге от 2019 года менеджер Microsoft Алекс Вейнерт заявил: «Исходя из наших исследований, вероятность взлома вашей учетной записи более чем на 99,9 % ниже, если вы используете MFA».

18. Более половины людей используют двухфакторную аутентификацию

В 2004 году Билл Гейтс предсказал смерть паролей, поскольку он предвидел массовое внедрение более безопасных систем, таких как двухфакторная аутентификация (2FA). Хотя видение Гейтса не осуществилось так быстро, как ожидалось (пароли все еще живы), в последние годы наблюдается всплеск осведомленности и принятия 2FA.

Согласно отчету о состоянии аутентификации Duo Labs за 2021 год, в котором были опрошены пользователи в США и Великобритании, 78 процентов респондентов использовали двухфакторную аутентификацию. Эта цифра подскочила с 53 процентов всего двумя годами ранее. Наиболее распространенным типом аутентификации была SMS-аутентификация (85,2%). Между тем, только 8,1% полагались на аппаратный токен.

19. Сотрудники 57% компаний используют MFA

По данным LastPass, сотрудники 57% компаний по всему миру используют многофакторную аутентификацию. Этот показатель на 12 процентов выше, чем в 2018 году. Исследование также показало, что некоторые страны чаще, чем другие, используют MFA, причем Дания, Нидерланды и Швейцария являются наиболее известными пользователями.

Источник: LastPass

Показатели использования также зависят от отрасли и размера компании. Как и ожидалось, технологические компании и компании-разработчики программного обеспечения являются первопроходцами 2FA. За ними следуют образовательный, банковско-финансовый и телекоммуникационный секторы. В более крупных компаниях сотрудники с большей вероятностью используют MFA, чем в небольших организациях.

20.

У 2FA все еще есть проблемы с

Согласно отчету Ponemon Institute, упомянутому выше, есть жалобы на 2FA, что может объяснить, почему темпы внедрения не растут еще быстрее. 23 процента пользователей считают неудобными методы двухфакторной аутентификации с использованием мобильных приложений для аутентификации или SMS. Более половины (54%) из них считают, что прерывают рабочий процесс, и почти половину (47%) раздражает необходимость копировать и вставлять временные коды.

Источник: Ponemon Institute

21. Мобильные приложения повышают уровень использования менеджеров паролей сотрудниками

Исследование LastPass показало, что внедрение удобных мобильных приложений побуждает сотрудников использовать менеджеры паролей. Почти четверть (23%) сотрудников получают доступ к своим хранилищам менеджеров паролей со своих телефонов.

22. Нормативно-правовые акты стимулируют рост числа внедрений MFA

Как отмечает LastPass в своем отчете, нормативные акты, такие как Общий регламент ЕС по защите данных (GDPR) и Схема уведомляемых нарушений данных (NDB) в Австралии, меняют способы работы компаний с данными и могут отвечать за такие вещи, как повышение безопасности паролей и более широкое внедрение MFA.

Например, теперь компании, находящиеся под юрисдикцией GDPR, обязаны своевременно сообщать об утечках данных. Чтобы поддержать соблюдение, были выписаны огромные штрафы. Одним из примеров является штраф в размере 50 миллионов евро, наложенный на Google в январе 2019 года за согласие пользователя. А в 2021 году Amazon был выписан еще больший штраф в размере 746 миллионов евро за несоблюдение требований.

Хотя LastPass не может напрямую сопоставить данные с развертыванием GDPR, он отмечает, что значительное увеличение показателей внедрения MFA во многих странах ЕС, вероятно, связано с регулированием.

23. Использование MFA в Австралии увеличилось почти в пять раз за один год

LastPass отмечает, что с момента введения схемы NDB в Австралии количество зарегистрированных нарушений увеличилось с чуть более 100 до почти 1000. Более того, использование MFA предприятиями в стране резко увеличилось с шести до 29 процентов.

См. также:  Лучший VPN для Австралии

24. Чуть более половины пользователей знают, что такое менеджеры паролей и двухфакторная аутентификация

Google обнаружил, что только 55% опрошенных пользователей смогли правильно определить термины «менеджер паролей» и «двухэтапная проверка». Несколько более тревожным является то, что только 60 процентов пользователей могли правильно определить термин «фишинг», и всего 32 процента знали, что означают все три термина.

Источник: Google

25. Молодежь чаще использует двухфакторную аутентификацию. Хотя и молодое, и старшее поколения считают онлайн-безопасность важной, они, как правило, придерживаются немного разных подходов. Одним из примеров, согласно Google, является то, что 16–24-летние чаще используют 2FA и регулярно устанавливают обновления приложений. Тем не менее, они с меньшей вероятностью будут регулярно менять свои пароли или знать основные термины безопасности.

26. Пожилые люди чаще используют разные пароли для каждой учетной записи

Хотя они могут не так быстро использовать 2FA или устанавливать обновления приложений, кажется, что пожилые люди более сообразительны, когда дело доходит до использования паролей. Google обнаружил, что люди старше 50 лет чаще используют разные пароли для своих онлайн-аккаунтов и считают обновления программного обеспечения безопасности очень важными. Тем не менее, они с меньшей вероятностью будут использовать менеджеры паролей или настраивать методы восстановления для своих учетных записей.

27. 34% людей используют менеджер паролей

По данным BitWarden, чуть более трети людей во всем мире используют менеджер паролей. Однако для работы требуется только четверть, и усыновление варьируется от одного места к другому. Например, около 44% американцев полагаются на эти услуги, тогда как только 22% японцев.

28.

Вредоносное ПО для сброса паролей задействовано более чем в одной трети всех взломов, связанных с вредоносным ПО. Наиболее заметным типом обнаруженного вредоносного ПО было вредоносное ПО для сброса паролей, которое было задействовано почти в 40 процентах нарушений, связанных с вредоносным ПО. Дамперы паролей, также известные как дамперы учетных данных, используются для кражи учетных данных (обычно имен пользователей и паролей) с компьютера-жертвы.

29. 80% нарушений, связанных со взломом, связаны с паролями

Verizon также изучила 868 нарушений, связанных со взломом. Подавляющее большинство (четыре из пяти) из них были так или иначе связаны с паролями; они либо включали атаки методом грубой силы, либо использовали украденные или утерянные учетные данные.

Связанный:

  • Как определить, что вас взломали
  • Статистика и факты фишинга за 2019–2020 годы
  • 300+ Статистика киберпреступности и кибербезопасности

Советы по выбору паролей и управлению ими

Хотите не попасть в нежелательную статистику и тенденции? Следуйте этим советам, чтобы выбрать безопасные пароли и сохранить их в безопасности.

  1. Выбирайте надежные пароли:  Выберите пароль длиной не менее 12 символов, состоящий из прописных и строчных букв, цифр и символов. Наш генератор паролей и инструменты проверки надежности могут помочь.
  2. Никогда не используйте повторно одни и те же или похожие пароли:  Используйте разные надежные пароли для каждой учетной записи.
  3. Используйте менеджер паролей: Несколько надежных паролей может быть трудно запомнить, но диспетчер паролей упрощает их обработку.
  4. Не записывайте пароли:  Будь то запись паролей на стикерах, в блокноте или в файле на компьютере, это просто вредно для безопасности.
  5. Не сообщайте пароли другим пользователям:  Если вам необходимо предоставить одноразовый пароль, измените его как можно скорее.
  6. По возможности используйте двухфакторную аутентификацию:  Включение двухфакторной аутентификации для ваших онлайн-аккаунтов значительно снизит риск взлома.
  7. Смените пароль после утечки данных:  Если вы обнаружите, что ваша информация была взломана, вам следует немедленно сменить пароль и убедиться, что в учетной записи не было никаких необычных действий.
  8. Подпишитесь на уведомления об утечке данных:  Хотя соответствующая компания должна сообщить вам, если ваши данные были раскрыты, подписаться на такую ​​услугу, как haveibeenpwned? увеличит ваши шансы услышать об утечке данных, пока не стало слишком поздно.
  9. Остерегайтесь фишинговых писем и сайтов: Они используют социальную инженерию для кражи личной информации, такой как учетные данные учетной записи и банковская информация.
  10. Следите за своими учетными записями:  Регулярно проверяйте свои учетные записи в Интернете на наличие подозрительной активности.

Статистика паролей Часто задаваемые вопросы

Как работают пароли?

Пароли работают путем шифрования данных, так что только человек с правильным паролем может расшифровать и получить к ним доступ. Обычно они используются для защиты конфиденциальной информации, такой как номера кредитных карт или личные данные. Пароли обычно чувствительны к регистру, а это означает, что правильный пароль должен быть введен с правильной комбинацией прописных и строчных букв. Некоторые пароли также чувствительны ко времени, поэтому срок их действия истекает через определенное время, и их необходимо обновлять. Чтобы сделать пароль более надежным, рекомендуется использовать комбинацию букв, цифр и символов.

Почему пароли важны для кибербезопасности?

Пароли необходимы для обеспечения кибербезопасности, поскольку они помогают обеспечить безопасность данных. Шифруя данные, пароли значительно затрудняют доступ киберпреступников к конфиденциальной информации и ее неправомерное использование.

Как хакеры взламывают пароли?

Хакеры могут использовать различные методы для взлома паролей. Одним из методов является атака по словарю, которая предполагает использование часто используемых слов или фраз в качестве паролей. Они также могут использовать атаки грубой силы, которые включают систематическое перебор всех возможных комбинаций символов, пока они не найдут правильную. Другой метод известен как радужные таблицы, которые представляют собой предварительно сгенерированные списки хэшей и связанных паролей в виде открытого текста, которые можно использовать для быстрого определения значения пароля, если известен его хэш. Наконец, хакеры могут использовать методы социальной инженерии, такие как фишинговые электронные письма или даже телефонные звонки, чтобы обманным путем заставить людей раскрыть свои пароли. Независимо от того, насколько надежен ваш пароль, всегда важно выбрать тот, который вы сможете легко запомнить, а другим будет нелегко угадать, поэтому хакерам будет трудно его взломать. Кроме того, использование двухфакторной аутентификации и регулярная смена пароля могут помочь защитить ваши учетные записи.

Могут ли мои данные быть украдены, если мой пароль взломан?

Если ваш пароль взломан, ваши данные могут быть украдены или доступны без авторизации. Оказавшись внутри системы или учетной записи, хакер может получить доступ к конфиденциальной информации, такой как финансовые отчеты, пароли, электронные письма и другие личные данные. Если ваш пароль скомпрометирован, важно принять меры для защиты себя и своих учетных записей, изменив пароли, настроив двухфакторную аутентификацию, где это возможно, и отслеживая подозрительную активность. Кроме того, всегда важно использовать сложные пароли, которые хакеры не могут легко угадать или взломать.

Наука выбора пароля

Недавно я просмотрел некоторые недавно взломанные учетные записи и написал Краткий анализ паролей Sony. Результаты были тревожными; пароли были относительно короткими (обычно от 6 до 10 символов), простыми (менее 1% из них содержали не буквенно-цифровые символы) и предсказуемыми (более трети были в общем словаре паролей). Что было еще хуже, так это уникальность; 92% общих учетных записей в системах Sony повторно использовали пароли, и даже когда я посмотрел на совершенно не связанную систему — Gawker — повторное использование все еще было очень высоким: более двух третей общих адресов электронной почты используют один и тот же пароль.

Но был один важный вопрос, который я оставил без ответа, а именно как люди выбирают свои пароли . Теперь мы знаем, что структурно пароли почти всегда придерживаются того, что мы бы назвали «плохой практикой», но как в первую очередь получаются эти пароли? Каково личное значение, которое заставляет кого-то выбирать тот или иной пароль?

Оказывается, в данных есть несколько очень узнаваемых закономерностей. На самом деле подавляющее большинство паролей придерживаются лишь небольшой горстки общепринятых методов выбора. Это интересное исследование, поскольку оно дает некоторое представление о мыслительном процессе людей, которые создают пароли, соответствующие слабым структурным принципам.

Исходные данные и процесс анализа

Данные, которые я собираюсь проанализировать, поступают из различных источников, включая взломы Sony и Gawker, о которых я упоминал в предыдущем посте, а также другие выпуски LulzSec, включая pron.com и коллекцию их случайных входов в систему. Для каждого из них у меня есть не что иное, как адрес электронной почты и пароль — нет никаких других атрибутов учетной записи, которые я мог бы использовать, чтобы начать делать выводы (например, физический адрес). Всего насчитывается около 300 000 учетных записей, что должно дать нам разумное сечение, с помощью которого можно сделать некоторые замечания по выбору пароля.

Есть еще три набора исходных данных, которые я собираюсь использовать в этом анализе:

  1. Имена людей: включает список примерно из 26 000 распространенных имен и фамилий.
  2. Географические названия: это все, от городов до штатов и стран, и включает около 32 000 записей.
  3. Английский словарь: именно так, как это звучит – около 190 000 слов в обычном английском словаре.

Я собираюсь использовать эти три источника данных, чтобы сделать некоторые предположения о том, откуда могли быть получены пароли. Приведенные выше три списка собраны из различных источников и, хотя и являются всеобъемлющими, ни в коем случае не являются полными. Суть в том, что некоторые потенциальные совпадения будут упущены, а общие цифры будут ниже, чем они были бы, если бы списки были точными на 100%.

При сопоставлении паролей с потенциальными источниками я буду более либеральным, чем обычно, игнорируя как регистр, так и знаки препинания. Хотя они чрезвычайно важны для энтропии паролей, они не играют никакой роли в том, откуда люди получают свои пароли. Использую ли я «Troy» или «troy» в качестве пароля (и нет, я не использую ни того, ни другого!), или «Troy Hunt» или «troyhunt», я все равно получаю их из одного и того же логического источника. Кроме того, в моем предыдущем анализе 45% всех паролей содержали только символы нижнего регистра, и, как я упоминал ранее, менее 1% в любом случае содержали какие-либо знаки препинания, поэтому для значительной части набора данных это не имело бы значения.

В анализе я начну с самых личных источников, таких как чье-то имя, а затем перейду к менее личным источникам, таким как места, словарные слова и посмотрю, сколько паролей соотносится с каждым из них. В таком случае, как «июнь», где это может быть либо имя, либо словарное слово, оно появится в той статистике, которую я запускаю первой (имена людей, в данном случае), а затем не будет учитываться снова, поэтому мы получим дискретный набор совпадений. Порядок результатов является скорее логическим приоритетом, чем приоритетом распространенности.

Имена людей

Я начал с имен людей, потому что имя — это просто один из самых личных атрибутов чьей-либо личности. Я также подозреваю, что они сильно проявляются, когда кто-то проникает в тайники их разума, чтобы придумать пароль. Теперь, конечно, имя не обязательно является именем владельца счета; это может быть супруг, дети или даже семейная собака. Кроме того, это может быть имя, отчество или фамилия.

Вот как они распределяются по распространенности в общем наборе паролей:

Пароли, полученные от имени человека

Итак, этот график говорит о том, что 14% людей создают свой пароль на основе имени человека . Как это выглядит? Что ж, довольно предсказуемо, вот три самых популярных имени в качестве паролей:

  1. maggie
  2. michael
  3. jennifer

Но это еще не все; только потому, что пароль производный от имени человека не означает, что это идеальное совпадение. Например, добавление цифр к имени является популярной практикой, поэтому, хотя «troy21» может не идеально соответствовать моему имени, его происхождение все еще ясно.

Существует три распространенных производных имени, которые часто встречаются в паролях:

  1. Добавление цифр
  2. Добавление символов (возможно, вместе с цифрами)
  3. Изменение имени (с цифрами и символами или без них)

Приведенный выше график включает эти три практики, и их склонность к именам людей распределяется следующим образом:

Структура паролей, полученных из имен людей являются фаворитами, и они почти всегда добавляются к имени, а не в начале. Кроме того, добавленное число очень, очень часто просто «1». Двузначные числа, вероятно, обозначающие год, также встречаются довольно часто (возможно, год рождения?), как и четырехзначные числа, которые, как я полагаю, подразумевают то же самое (конечно, это возможно, исходя из диапазона чисел).

Символы используются довольно редко, но опять же, как я уже упоминал в самом начале этого поста, менее 1% паролей в моем предыдущем анализе все равно содержали символы, так что больших сюрпризов здесь нет. Перевернутые имена, очевидно, являются попыткой запутать пароль и уменьшить возможность его обнаружения. На самом деле перевернутое имя по-прежнему состоит из того же количества и типа символов, поэтому такие пароли, как «trebor», «nevets» и «samoht», по-прежнему будут очень уязвимы для атак методом перебора, таких как радужная таблица.

Названия мест

Другой очень распространенной практикой является использование названия места в пароле. Это может быть город, штат или страна, и, вероятно, будет справедливо предположить, что эти места имеют определенное личное значение для создателя пароля. Вот насколько распространены эти географические названия:

Пароли, полученные из географических названий

Здесь мы видим, что 8% всех паролей основаны на географических названиях . Самые популярные географические названия включают:

  1. даллас
  2. канада
  3. бостон

Хитрость с географическими названиями заключается в том, что очень часто они также могут быть именами людей (например, Виктория), что неудивительно, учитывая, что многие места названы в честь людей. Точно так же они очень часто являются словарными именами (например, Sunshine), и в обоих случаях просто невозможно сделать предположение о том, о чем думал человек, когда создавал пароль. В любом случае, центральная тема остается прежней: пароли получаются из общих слов.

С точки зрения чисел, символов и реверсивных трюков результат довольно согласуется с тем, что мы видели ранее с именами людей:

Структура паролей, полученных из географических названий

И снова старый верный суффикс «1» наиболее популярен. Это как если бы люди знали , что они должны смешивать типы символов, но они выбирают легкий путь вместо того, чтобы выбирать действительно случайные числа и размещать их в непредсказуемых местах в пароле.

Словарные слова

Вот самый большой, и это совсем не удивительно, учитывая огромный выбор. Словарные слова, безусловно, самый популярный источник вдохновения для создания паролей:

Пароли, полученные из словарного слова

Огромное количество 25% паролей получены непосредственно из слов словаря . На самом деле, наверное, несколько больше, так как в моем словаре было меньше пары сотен тысяч слов. И все они только на английском языке.

Топ среди избранных словарей:

  1. пароль (о боже)
  2. обезьяна
  3. дракон

Первый, наверное, не должен быть таким сюрпризом, но все же, вау! В моем источнике паролей из нескольких сотен тысяч учетных записей было почти две с половиной тысячи паролей-паролей, что не только довольно плохой выбор, учитывая его очевидную доступность в словаре, но и безумно очевидный.

Это довольно похожая история с именами людей и местами, когда дело доходит до смешивания слов с некоторой случайностью:

Структура паролей, полученных из словарных слов

То же самое, что и раньше – преимущественно суффиксы и преимущественно предсказуемые числовые шаблоны. Я думаю, мы видим здесь закономерность…

Числа

Вот еще одна значительная часть паролей — цифры. Я не имею в виду числа в сочетании со словами, я имею в виду числа и только числа . На самом деле их характеристики весьма значительны:

Пароли, полученные из чисел

Всего 14% паролей являются чисто числовыми . Если это кажется вам ошеломляюще большим, подождите, пока вы не увидите три самые популярные комбинации чисел:

  1. 123456
  2. 12345678
  3. 123456789

Я не думаю, что нам нужно много делать. размышляя о том, как они были получены. Что немного интереснее, так это разброс длин:

Длина чисто числовых паролей

Чем это интересно? Ну, во-первых, в разбросе длин числовых паролей, который варьируется от 1 (да, 1, и их куча) до 21, 83% паролей состоят из четырех, шести или восьми цифр. Это склонность к четным длинам паролей или что-то еще?

Для четырехзначных паролей разброс по количеству вхождений довольно велик, по крайней мере, если вы проигнорируете «1234» (наиболее часто используемый четырехзначный пароль в десять раз). Тем не менее, существует довольно большое количество цифр, которые могут легко представлять последние годы (1984 довольно популярен), поэтому я подозреваю, что значение часто зависит от даты. Еще одна вещь, которую следует учитывать, заключается в том, что, учитывая склонность к повторному использованию пароля и тот факт, что многие PIN-коды состоят из четырех цифр, есть большая вероятность, что эти цифры используются в чьем-то багаже ​​или — ох! – это тот, который они используют, чтобы снять деньги с банкомата.

Особенность шестизначных чисел в том, что они очень, очень часто представляют даты в формате ДДММГГ (или ММДДГГ для американцев). Диапазоны каждых трех пар чисел в списке паролей предполагают высокую вероятность того, что эти пароли действительно относятся к датам, предположительно имеющим какое-то личное значение для создателя.

А как насчет высокой распространенности восьмизначных чисел? В некоторой степени числа соответствуют формату ДДММГГГГГ (или американскому эквиваленту), но по большей части очевидного шаблона нет. Судя по тому, что мы видели до сих пор, числа почти наверняка имеют личное значение, но это не очевидно из их формата, по крайней мере, не за исключением тех, которые придерживаются очевидных, запоминающихся шаблонов, таких как «12345678» или «11223344».

Может показаться немного либеральным создание отдельной категории для всех паролей одного типа символов, но если учесть чрезвычайно ограниченный набор символов — десять вместо 95 (печатаемые символы ASCII) — очевидно, есть какие-то очень конкретные причины для выбора только цифр.

Двойные слова

Здесь мы переходим к более абстрактным шаблонам, но один из них встречается достаточно часто — это двойные слова (например, «troytroy»):

Пароли, состоящие из двойных слов

Опять же, мы говорим о небольших числах. сейчас, и менее 3% вряд ли подожгут мир, но, тем не менее, есть четкая закономерность. Вот что появляется чаще всего:

  1. blahblah
  2. poopoo
  3. lovelove

Помимо повторяющихся слов, есть также шаблоны удвоения других случайных символов. Мы могли бы предположить, что мыслительный процесс заключается в том, что эта практика позволяет буквально удвоить размер простых паролей очень короткой длины, но, конечно, во многих случаях они все еще короткие (восемь символов или меньше), строчные буквенно-цифровые строки, что является довольно простой моделью.

Пароли найдены в адресах электронной почты

Это довольно наглая попытка упростить весь процесс входа в систему — зачем пытаться запомнить пароль, если можно просто использовать идентификационный компонент адреса электронной почты? Смущенный? Это все равно что взять «troyhunt» из адреса troyhunt@hotmail. com и использовать его в качестве пароля. Здесь происходит нечто подобное:

Пароли получены из адреса электронной почты

Хорошо, меньше 3% — это небольшое число, но опять же — вау! — люди на самом деле делают это! Позвольте мне проиллюстрировать с исключенным доменом, чтобы сохранить некоторую степень конфиденциальности:

  1. Эл. почта: murphy666@… Пароль: murphy666
  2. Эл. Электронная почта: racecar73@… Пароль: racecar73

Вдохновение для этих паролей довольно ясно — никаких предположений!

Короткие фразы

Это немного сложно поддается количественной оценке, поскольку единственный способ идентифицировать фразы состоял в буквальном наблюдении за данными и составлении списка фраз на основе наиболее часто встречающихся. Тем не менее, я подумал, что стоит продолжать, и хотя приведенные ниже числа неизбежно ниже, чем истинные числа (я не читал каждый пароль), я знаю из предыдущего опыта, что короткие фразы часто — и неправильно — считаются «безопасной» формой пароля. Вот что я нашел:

Пароли, представляющие собой короткие фразы

Какие фразы мы рассматриваем? Вот самые популярные из них:

  1. trustno1
  2. letmein
  3. iloveyou

Первый немного забавен, учитывая контекст и то, что он появился в качестве пароля агента Фокса Малдера в сериале «Секретные материалы» (не лучший пример для подражания!) Другие, очевидно, просты и легки. запомнить, какой шаблон повторяется в большинстве оставшихся фраз. Да, они добавляют длины и разнообразия (по крайней мере, в словарном смысле), но опять же, это короткие, преимущественно строчные пароли, ориентированные на алфавит. Другое дело, что они часто встречаются в словарях паролей (заметьте, не в англоязычных словарях, а в списках распространенных паролей). На самом деле, «letmein» и «iloveyou» можно найти в популярном словаре паролей darkc0de.lst.

Клавиатурные комбинации

Несмотря на то, что сейчас мы приближаемся к небольшим числам, некоторые уже давно пропагандируют клавиатурные комбинации как «безопасное» средство создания паролей. Теория заключается в том, что они не появляются в словарях английского языка (хотя они часто встречаются в словарях паролей), и их легко запомнить, поскольку они основаны на шаблонах. Вот как они представлены в наборе данных:

Пароли, являющиеся сочетаниями клавиш

Опять же, это было основано на том, что я вручную идентифицировал шаблоны, поэтому я неизбежно пропустил несколько, но, безусловно, я уловил много высокочастотных. Вот какие закономерности я регулярно наблюдаю:

  1. qwerty
  2. asdfgh
  3. asdf1234

Очевидно, что в случае, подобном последнему примеру, они пытаются немного напутать, но схема все еще очень ясна:

90 002 Некоторые из наиболее креативных начинают менять направления на клавиатуре или добавляют немного случайности к повторению букв и цифр, но практика остается прежней: предсказуемой.

Связано с сайтом

Хотя это очень маленький результат в процентном отношении, я подумал, что это шаблон, который стоит прокомментировать, поскольку это совершенно другой подход к получению пароля. В этом шаблоне пароль имеет очень прямую ссылку на сайт, на котором он создан, либо на основе имени, либо других атрибутов, относящихся к характеру сайта. Вот как это происходит:

Пароли, относящиеся к сайту, на котором они созданы. Gawker

  • Сайт: Sony Pictures Пароль: sony123
  • Сайт: pron.com Пароль: ilovepron

    • и снова у нас есть пароль, который легко вспомнить на основе запоминающегося атрибута. Конечно, это также довольно очевидный атрибут (он смотрит вам в лицо, когда вы входите в систему), и только на этом основании он действительно не является очень надежным паролем. Кстати, некоторые из них весьма забавны, особенно с pron.com 🙂

    Все остальное

    Так что остается? Ну и довольно большое количество паролей, не соответствующих распознаваемым шаблонам или , они просто проскочили через мои фильтры (последнее весьма вероятно и в этой категории было бы значительное количество паролей). Вот что осталось:

    Пароли, не полученные из источников в приведенном выше анализе

    Высокая распространенность, типичные примеры включают:

    1. thx1138 (оказалось, это фильм сорокалетней давности)
    2. gundam (на самом деле аниме-сериал)
    3. ncc1701 (кодовое название USS Enterprise в «Звездном пути»)

    паттерны, обсуждавшиеся выше, на самом деле относятся к массовой культуре. Это довольно очевидный источник вдохновения, хотя его трудно определить в списке слов.

    Кроме того, конечно, есть просто пароли, которые не соответствуют никакому обнаруживаемому шаблону, например «mw818283» (хотя, что интересно, поиск Google показывает это в онлайн-словаре паролей). Дело в том, однако, что они попадают в меньшинство, и даже если они «сильные» (длинные, случайные, уникальные), они теперь широко доступны в словарях паролей для использования в будущих атаках грубой силы. Поскольку вся моя база паролей была получена с скомпрометированных сайтов, которые теперь легко доступны в Интернете, реальность такова, что ни один из этих паролей нельзя использовать снова.

    Published in Разное

    Ваш комментарий будет первым

      Добавить комментарий

      Ваш адрес email не будет опубликован. Обязательные поля помечены *