Нажмите "Enter", чтобы перейти к содержанию

Какие символы можно использовать в пароле: Символы, которые можно использовать при вводе имени пользователя и пароля

_` { | } ~ (33 символа)

Имя пользователя для входа в систему

  • Пробелы, двоеточия и кавычки не допускаются.

  • Оно не может состоять только из цифр, и поле нельзя оставлять незаполненным.

  • Длина ограничивается 32 символами.

Пароль для входа в систему

  • Максимально допустимая длина пароля для администраторов и супервайзера составляет 32 символа, тогда как для пользователей длина ограничивается 128 символами.

  • В отношении типов символов, которые могут использоваться для задания пароля, никаких ограничений не установлено. В целях безопасности рекомендуется создавать пароли, содержащие буквы верхнего и нижнего регистров, цифры и другие символы. Чем большее число символов используется в пароле, тем более трудной является задача его подбора для посторонних лиц.

  • В подразделе [Политика паролей] раздела [Расширенная безопасность] вы можете установить требование в отношении обязательного включения в пароль букв верхнего и нижнего регистров, цифр и других символов, а также минимально необходимое количество символов в пароле.

    Для получения сведений об определении политики паролей см. Настройка функций расширенной безопасности.

Содержание

Требования к паролям — полная чушь / Блог компании Productivity Inside / Хабр

Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».

Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.

Мир буквально погряз в ужасных правилах создания паролей:

→ Тупые требования
→ Примеры плохой политики
→ Доска позора

Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.

Видели этот классический комикс о паролях от XKCD?

Разумеется, можно спорить, стоит ли считать «correct horse battery staple» примером хорошей стратегии для создания паролей, но суть аргумента в том, что длина решает.

Нет, серьезно, решает. Скажу даже больше: зуб даю, что ваш пароль слишком короткий. В наше время, учитывая, насколько развиты облачные вычисления и взлом паролей с помощью GPU, ставить пароль в 8 символов или короче — все равно что вообще его не ставить.

Тогда, получается, одно правило у нас уже есть: пароль не должен быть коротким. Длинный пароль с большей вероятностью окажется надежным, чем короткий… правда же?

А что скажете о таком пароле в 4 символа?

Или о таком, в 8 символов?

Или о таком, гипотетическом, но вполне реалистичном, в 7 символов?

«Извините, но ваш пароль должен содержать не менее одного символа из арабского, китайского, тайского, корейского и клингонского, пиктограмму из Wingdings и смайлик».

Кроме того, вы, наверное, удивитесь, но если вставить вышеприведенные 4 смайлика в поле пароля из вашего любимого окна авторизации (давайте, попробуйте), окажется, что там на самом деле… вовсе не четыре символа.

Господи.

Наш старый друг Юникод опять за свое.

Как выясняется, даже простое правило «ваш пароль должен быть разумной длины» работает с оговорками. Особенно если перестать мыслить, как двинутые на ASCII американцы.

Да и если присмотреться ко всем этим славным длинным паролям… всегда ли они надежны?

aaaaaaaaaaaaaaaaaaa
0123456789012345689
passwordpassword

usernamepassword

Конечно, нет. Вы вообще видели живых пользователей в последнее время?

Они последовательно портят каждую программу, которую я создаю. Да, да, знаю, вы гики в последней стадии и знаете всё о понятии энтропии. Но выражать свою любовь к энтропии через ужасные изощренные требования к паролям вроде:

  • должны содержать прописные буквы;
  • должны содержать строчные буквы;
  • должны содержать числа;
  • должны содержать специальные символы.

в мире, где есть Юникод и смайлики, значит не иметь воображения.

Когда мы работали над Discourse, я узнал, что окошко авторизации, оказывается, очень сложный компонент софта, несмотря на внешнюю простоту. Главное требование к паролям, которые мы приняли — длина — также было достаточно простым. Пока я писал эту статью, мы уже успели увеличить минимальную возможную длину пароля с 8 до 10 символов. А для модераторов и администраторов и решили поставить нижнюю границу еще выше, на 15 символах.

Кроме того, я настаивал на том, чтобы проверять, не совпадает ли пароль с каким-нибудь из списка 100 000 самых распространенных. Если проанализировать 10 миллионов паролей, которые попали в общий доступ из-за утечек данных, выясняется, что чаще всего используются следующие 25:

123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e

Даже эти данные свидетельствуют об излишней зацикленности на системе ASCII.

То есть цифры-то, конечно, везде одинаковые, но мне как-то не верится, что среднестатистическому китайцу придет в голову поставить в качестве пароля «password», «quertyuiop» или «mynoob». Так что такие списки необходимо составлять с учетом локализации и прочих параметров.

(Есть еще интересная мысль: искать популярные короткие пароли в составе длинных, но, как мне кажется, получится слишком много ошибок первого рода)

Представленная статистика также свидетельствует в пользу того, чтобы делать пароли длиннее. Обратите внимание: из 25 самых популярных паролей только 5 имеют длину в 10 символов и больше. Соответственно, если мы установим минимум в 10 символов, то уже одним этим отсечем 80% списка. Впервые я это выяснил, когда собрал несколько миллионов паролей из утечек данных в рамках исследования для Discourse и отфильтровал те, которые соответствуют нашему новому требованию, чтобы длина пароля была не меньше 10 символов.

И внезапно от огромного списка остались рожки да ножки. (Если вы тоже проводили подобные исследования, поделитесь, пожалуйста, результатами в комментариях)

Я хотел бы предложить коллегам-разработчикам следующие рекомендации, продиктованные исключительно здравым смыслом:

1. Требования к паролям — полная чушь

  • Они не работают.
  • Они наказывают аудиторию, которую вам нужно привлекать в первую очередь, — тех, кто пользуется рандомными генераторами паролей. Прикиньте, рандомный пароль может и не содержать в себе цифры или символа. Я два раза сверился с учебником по математике, и да, вроде бы такое вполне возможно.
  • Они раздражают основную массу пользователей, отбивая у них охоту с вами сотрудничать и подстегивая искать всякие «остроумные» лазейки. В результате пароли получаются менее надежными.
  • Они часто ошибочны, в том смысле, что предложенный набор правил недостаточен или попросту нелеп. Достаточно посмотреть на любой пример с доски позора, на которую я ссылался выше.
  • Нет, правда, ради всего святого, хватит уже этой ерунды с произвольными требованиями к паролям. Если не верите мне, почитайте рекомендации по требованиям к паролям от NSIT. Вот, так и написано: «избегайте устанавливать правила создания паролей». Хотя, на мой взгляд, тут есть одна неточность, надо было написать: «избегайте устанавливать тупые правила».
2. Установите минимальную длину пароля в Юникоде

Одно правило, по крайней мере, легко запомнить, понять и внедрить. Это то самое пресловутое правило, чтоб править всеми, оно главнее всех, сберёт всех вместе и заключит во тьме.
  • Это просто. Пользователи умеют считать. Ну, большинство умеет.
  • Это работает. Статистика подтверждает, что это работает: просто скачайте любой список популярных паролей на ваш выбор и рассортируйте их по длине.
  • Математика не даст соврать. При прочих равных условиях длинный пароль будет более рандомным, чем короткий, а значит, и более надежным.
  • Смиритесь с тем, что даже у этого единственного правила будут исключения. Минимальная длина в 6 символов на китайском сайте — это вполне разумно. С другой стороны, пароль в 20 символов может быть до смешного простым для взлома.
  • Если в ваше поле пароля нельзя ввести (практически) любой символ из Юникода, вы скорее всего что-то делаете не так.
  • Это уже больше относится к частностям реализации, но не забудьте также установить вменяемую максимальную длину пароля.
3. Сверяйтесь со списком самых распространенных паролей

Как я уже говорил, какие из них считать «распространенными», зависит от вашей аудитории и языка, но в любом случае, позволяя пользователям ставить пароли из списка 10 000, 100 000 или миллиона самых популярных паролей из утечек данных, вы оказываете им медвежью услугу. Нет ни малейшего сомнения, что хакер попробует эти пароли при попытке взлома, и, даже если вы ставите жесткие ограничения на количество попыток ввода, достаточно прогнать первую тысячу, чтобы добиться шокирующе хороших результатов.
  • у 1.6% пользователей пароль из числа 10 самых популярных;
  • у 4. 4% пользователей пароль из числа 100 самых популярных;
  • у 9.7% пользователей пароль из числа 500 самых популярных;
  • у 13.2% пользователей пароль из числа 1000 самых популярных;
  • у 30% пользователей пароль из числа 10 000 самых популярных.

Но вам повезло: в Сети можно найти целые миллионы списков «обнародованных» паролей. Производить расследование с опорой на эти данные даже весело — ведь это не какие-то вам абстрактные, искусственные правила, которые насочинял какой-нибудь программист со скуки. Нет, это самые настоящие пароли, которые использовали самые настоящие пользователи.

Проводите исследования. Собирайте данные. Спасайте пользователей от самих себя.

4. Контролируйте количество энтропии

Тут ничего особо заумного, просто выберите ту величину, которая инстинктивно кажется вам подходящей в глубине души. Но не забывайте: вам придется объяснять свою логику пользователям, которые не пройдут проверку.

Я с некоторой грустью осознал, что нас вполне устраивает, чтобы пользователь установил пароль из 10 совершенно одинаковых символов («аааааааааа»). На мой взгляд, самый простой способ избежать такой ситуации — задать минимум в x уникальных символов на общее число y. Так мы и поступаем в последней бета-версии Discourse. Но если у вас есть какие-то другие идеи, будем рады услышать их в комментариях. Чем проще и яснее, тем лучше!

5. Отлавливайте особые типы паролей

Стыдно признаться, но, реализуя окошко авторизации для Discourse, мы совершенно забыли про два распространенных случая, которые необходимо отслеживать и пресекать (я упоминал об этом в другой статье):
  • пароль, который совпадает с именем пользователя;
  • пароль, который совпадает с e-mail.

Если у вас стоит Discourse версии 1.3 и ниже — мне очень жаль, пожалуйста, обновите его как можно скорее.

Также, возможно, вам стоит блокировать еще некоторые разновидности:

  • пароль, который совпадает с URL сайта или именем домена;
  • пароль, который совпадает с названием приложения.

Если вкратце, старайтесь мыслить, выходя за рамки поля для ввода — совсем как ваши пользователи.
Пояснение

Некоторые читатели восприняли мои слова как «все правила, кроме этих четырех, которые я сейчас распишу — полная чушь». Я имел в виду другое.

Мысль такая: сосредоточьтесь на одном ясном, простом и практичном правиле, который реально работает в любой ситуации — длине. Пользователи могут вводить что угодно (в разумных пределах) на Юникоде с одним условием — чтобы было достаточно символов. Пароль должен быть длинным — это то самое единственное собирательное правило, которому мы должны научить пользователей.

Пункты с третьего по пятый — это просто оговорки для особых случаев (типа как джину нельзя загадывать желание получить неограниченное число желаний). Тут не нужно каких-то предварительных обсуждений, потому что такие вещи должны быть редкими исключениями. Пользователей нужно останавливать, если они пытаются ввести пароль, совпадающий с именем, или 0123456789, или просто «аааааааааааа», но это должно происходить в рамках проверки данных после ввода, а не в соответствии с предварительно разъясненным правилом.

Так что, если в двух словах: правило одно — длина. Вводите что ваша душа пожелает, лишь бы количество символов тянуло на нормальный пароль.

Какие символы вы бы сделали недействительными для пароля?



Гипотетическая ситуация: вы внедрили систему обработки паролей, и она вообще не накладывает никаких ограничений на то, какие символы можно использовать. Вы хотите установить некоторые правила, которые являются разумным компромиссом между двумя вещами —

  1. Предоставьте пользователю как можно больше свободы.
  2. Учтите возможность того, что вы можете изменить способ обработки паролей в будущем — вы не хотите исключать разумные реализации, потому что существующие пароли ваших пользователей станут недействительными.

Какие правила вы бы установили? Есть ли другие факторы, которые могут повлиять на ваш выбор?

security language-agnostic validation passwords
Поделиться Источник Unknown     06 октября 2009 в 08:40

12 ответов

  • Excel импорт как бы вы это сделали?

    Хорошо, у меня написан импорт Excel. Он использует автоматизацию excel, чтобы просмотреть все записи и выполнить работу. Как бы вы это сделали, если бы вам пришлось это сделать? Вы бы использовали SSIS? Вы бы использовали подключение к данным? Я действительно не знаю, как лучше всего это сделать…

  • Как бы вы сделали программу мгновенного обмена сообщениями для пользовательской базы веб-сайтов?

    У меня есть сайт социальной сети, похожий по дизайну на сообщество типа myspace/facebook, я использую php/mysql в настройке LAMP. Я всегда хотел иметь свой собственный мессенджер, который будет работать на PC пользователя, похожий на AIM, который будет работать с моим сайтом, означающим, что…


13

Не накладывайте никаких ограничений вообще, никогда. И мне кажется, что вы планируете хранить пароль, а не hash. Этого тоже не делай. Скорее, храните соль и хэшированную комбинацию пароля и указанной соли. или #).

Поделиться Anton Gogolev     06 октября 2009 в 08:44


10

Лучше всего вообще никаких ограничений, если вы действительно не можете их оправдать.

Если вы являетесь банком, поставщиком услуг email или если пользователь может заказать что-то без предоставления кредитной карты, то принуждение пользователей использовать надежный пароль имеет смысл. В противном случае вы просто усложняете ситуацию без всякой причины.

Что касается того, что вы должны хранить, я бы сказал, что 1024 символа юникода с запрещенными управляющими символами-это все, что оправдано. Если пользователь не может ввести его, он должен был выбрать другой пароль. Все, что вы храните, — это hash, так что вы всегда можете сократить его до любого размера, который захотите.

Поделиться Kevin Peterson     06 октября 2009 в 08:49


3

Лично я всегда стремился не навязывать слишком много правил.

Это только что изменилось. Я только что обнаружил, что мой сайт уязвим для атак XSS. Решение состоит в том, чтобы очистить каждый фрагмент ввода, поступающий от пользователя, включая пароль.

В течение 10 лет у нас не было ограничений на пароль. Теперь мы вводим ограничение на количество символов, которые могут быть использованы, и это просто для того, чтобы хакеры не могли получить доступ к Javascript или SQL. Поэтому мы составили следующий список:

Допустимыми символами для пароля являются: a-z A-Z 0-9 . — _ $ * ( ) # @ ! % / (пустой)

Это обеспечивает большую гибкость, но позволяет избежать символов, которые могут быть использованы при кодировании взлома XSS, таких как ; < > \ { } [ ] + = ? & , : ‘» `

HTH

Поделиться muz the axe     21 июля 2016 в 21:31


2

Никаких ограничений на пароль. Если они могут ввести его со своей клавиатуры, независимо от того, какую региональную клавиатуру они используют. Возможно, вы захотите ввести минимальную длину, такие параметры, как по крайней мере одно число и один специальный символ, но без максимального ограничения.

Что касается вашего второго вопроса. Я бы реализовал это с помощью создания отдельных полей по мере повышения надежности пароля. Например, прямо сейчас у вас будет два поля, которые относятся к паролю: salt, password_md5. Допустим, позже вы захотите использовать sha256. Создайте новое поле с именем password_sha256. Когда пользователь входит в систему, вы сначала проверяете password_sha256. Если это поле пусто, проверьте password_md5. Если это соответствует, теперь у вас есть пароль в виде обычного текста, введенный пользователем. Затем вы можете сгенерировать пароль sha256 (я бы также сбросил соль для хорошей меры) и сохранить новое значение. Затем я бы вычеркнул значение в password_md5, чтобы никто не мог отменить его, чтобы получить пароль.

Лично я бы просто выбрал лучшее, что может сделать ваш язык, и использовал бы это. Важно обеспечить соблюдение хорошей политики минимального пароля-не имеет значения, насколько безопасен hash, когда пароль «1234»-и заполнить hash каким-либо случайным символом, чтобы избежать атак по словарю.

Поделиться vrillusions     07 октября 2009 в 16:56


2

Любой неуправляемый персонаж должен быть в порядке. Я должен думать, что разработчики супер-пупер систем паролей в будущем разрешат «unusual» ASCII символов, таких как знаки препинания и другие знаки, но управляющие символы имеют привычку быть громоздкими для ввода в текстовом режиме, и даже GUI диалогов, которые ожидают, что Tab и Enter/Return будут свободны для своих собственных целей.

Поделиться Coxy     06 октября 2009 в 08:47


2

Пустое пространство (в зависимости от логики оно может быть случайно обрезано перед хэшированием)

Поделиться Chris S     06 октября 2009 в 08:48


0

В нашей организации, если пользователь вводит пароль, мы разрешаем ему использовать все, что он хочет.

Когда пользователи впервые регистрируются в системе, для них генерируется пароль. Поскольку этот пароль обычно отправляется им по почте, мы избегаем использования определенных символов, которые могут быть перепутаны, особенно при использовании определенных шрифтов. Например, буква O и число 0 (ноль) не используются. То же самое для L, I и 1 (один), S и 5, Z и 2 и других.

До того, как мы внесли это изменение, у нас было много звонков в нашу службу поддержки, потому что персонажи, которых мы перепутали, не могли войти в систему.

Поделиться HitLikeAHammer     07 октября 2009 в 17:04


0

Я бы сохранил все, что вы можете сделать с помощью одной клавиши (и, возможно, shift) на клавиатуре, кроме tab. Какие схемы потребовали бы более ограничительного варианта?

Поделиться Peter     06 октября 2009 в 08:42


0

Попросите пользователей ввести пароли, содержащие по крайней мере число и не буквенно-цифровой символ, и длиной более шести символов. В любом случае, я думаю, что независимо от ограничений, в случае, если вы измените способ проверки паролей, вы должны уведомить пользователей в разумные сроки, чтобы обновить их.

Поделиться luvieere     06 октября 2009 в 08:46


0

Лично я использую клавиатуру отпечатков пальцев DigitalPersona (да, Microsoft делает [или делала] подобное устройство, как интегрированное с клавиатурой, так и отдельно от нее).

Это позволяет генерировать чрезвычайно длинные и сложные пароли, которые не нужно записывать (так как нажатие пальца на считыватель вводит пароль в диалоговое окно входа в систему [system/application/website]).

Это, на мой взгляд, обеспечивает лучшее из обоих миров: Чрезвычайно трудно «guess» паролей, не запоминая их. Это также упрощает дополнительную рекомендацию по безопасности использования разных паролей в разных системах.

Ну, это мои два цента.

Поделиться Mark Ward     28 сентября 2012 в 13:38


0

Некоторые правила, которым нужно следовать:

  1. Избегайте Управляющих Символов. Сегодня это не так распространено, но все управляющие символы имеют специальные значения, и некоторые аппаратные средства перехватывают управляющие символы для выполнения специальных функций. Некоторые из них вызовут проблемы с данными, например, элемент управления 0 (ноль) будет генерировать null.
  2. Вы собираетесь ввести ограничения безопасности? Это вопрос пользовательского интерфейса, а также проблема безопасности. Что такое ваше приложение и его потребность в безопасности. Многие из приведенных ранее примеров устарели. Hash таблицы для комбинаций паролей публикуются для паролей до 15 символов, а 16-символьные пароли могут быть принудительно введены в течение нескольких минут, если пароль в противном случае слаб или следует типичному поведению человека. Начинается с заглавной буквы, заканчивается цифрой или специальным символом.
  3. Я бы избегал общих подстановочных знаков, кавычек, двоеточия, точки с запятой и т. Д., Которые обычно используются в языках OS или DB.
  4. Многофакторная аутентификация-это хороший способ. Не зависите только от пароля или вообще не принимайте пароли.

Поделиться Uruloki     10 августа 2016 в 21:25


-3

Правила, которые я бы предложил соблюдать:

  1. Длина — не менее 8 символов, но не более 20
  2. Простота взлома — пропуск не должен содержать имя пользователя, фамилию или имя пользователя, а также (если возможно проверить) любое слово, которое появляется в словаре английского языка.
  3. Содержание — На клавиатуре есть 4 типа символов: прописные, строчные, цифры и знаки препинания. Хороший пароль должен включать представителей не менее 3 групп и не более 2-3 символов одной и той же группы подряд.

Поделиться Traveling Tech Guy     06 октября 2009 в 08:48

Похожие вопросы:


Как бы вы сделали систему «Favorite Pages»

Поэтому мое руководство попросило меня включить способ для пользователей отмечать страницы на моем сайте как favorite и показывать их в специальном списке. Этот сайт имеет статическую структуру (я…


если бы вы переосмыслили twitter, что бы вы сделали по-другому?

Я только что увидел веселый The Rise and Fall of Twitter , который заставил меня задуматься: если бы вы переосмыслили twitter, что бы вы сделали по-другому? Какие технологии вы бы использовали? На…


Формирует 3 или 4 случайных символа пароля из пароля PHP

Я видел несколько сайтов, которые просили пользователя ввести 3 или 4 символа из своего пароля случайным образом, чтобы получить доступ к учетной записи веб-сайта. Я хотел бы знать, как это сделать. ..


Excel импорт как бы вы это сделали?

Хорошо, у меня написан импорт Excel. Он использует автоматизацию excel, чтобы просмотреть все записи и выполнить работу. Как бы вы это сделали, если бы вам пришлось это сделать? Вы бы использовали…


Как бы вы сделали программу мгновенного обмена сообщениями для пользовательской базы веб-сайтов?

У меня есть сайт социальной сети, похожий по дизайну на сообщество типа myspace/facebook, я использую php/mysql в настройке LAMP. Я всегда хотел иметь свой собственный мессенджер, который будет…


Неправильно прочитанные спецификации — что бы вы сделали?

Ваш владелец проекта дал вам спецификацию и попросил вас предоставить оценку для этого. Вы с радостью подчинились и дали ему цифру. Вы взяли плату в пересчете на work/ часов. Но когда проект был…


Если бы вы могли существенно изменить библиотеки Java classpath, какие другие решения вы бы приняли?

Если бы у вас была возможность значительно изменить / обновить библиотеки Java classpath, какие вещи вы бы сделали add/update/change/deprecate/remove?


Как бы вы сделали такую анимацию рисования над текстом?

Попробуйте загрузить этот сайт и наведите курсор мыши на текст: http://www. guillaumetomasi.com / эффект довольно приятный. Что-то вроде динамической картины над ним. Как бы вы это сделали? Какие-то…


Как бы вы сделали волну анимированной div css/js

Один из способов, который я могу придумать, — это анимированный svg, но, вероятно, есть и лучший способ. Что бы вы сделали, если бы вам пришлось анимировать эти волнистые капли (совместимые с…


Как бы вы сделали набор B подмножеством A

Я видел множество примеров, указывающих, как найти подмножества данного множества, но как бы вы сделали подмножество множества другим? Итак, множество B является подмножеством множества A, как бы…

Надежные пароли: как их создать и чем они полезны?

Почему важно иметь надежный пароль

Надежный пароль – это главный барьер, который мешает взломать большинство ваших аккаунтов в сети. Если вы не пользуетесь современными методиками создания паролей, то вполне возможно, что мошенники смогут подобрать их буквально за несколько часов. Чтобы не подвергать себя риску кражи идентификационных данных и не стать жертвой вымогательства, вам нужно создавать пароли, которые могут противостоять усилиям хакеров, вооруженных современными средствами взлома.

Слабость вашего аккаунта – это настоящая мечта для киберпреступника. Но этим мечтам лучше никогда не сбываться, и поэтому вам нужно предпринять определенные действия, чтобы укрепить стойкость своих паролей.

Угрозы безопасности паролей

Скомпрометированные пароли открывают киберпреступникам доступ к вашим важнейшим личным данным. Так что вам нужны такие пароли, которые хакерам нелегко будет угадать или подобрать.

Большинство пользователей сейчас умеют создавать пароли, которые тяжело подобрать вручную. Когда-то этого было достаточно, чтобы противостоять краже данных. Помните, что преступники будут использовать любую информацию о вас, которую смогут найти, а также распространенные способы составления паролей, чтобы угадать ваш пароль. Когда-то вы могли использовать простую «хu7р0с7b» – подстановку похожих символов. Но сейчас она уже известна хакерам.

Современные киберпреступники используют сложные технологии, чтобы украсть ваши пароли. Это очень важно знать, потому что многие пытаются составлять пароли, которые трудно отгадать человеку, но не принимают в расчет существование эффективных алгоритмов и специальных программ, которые учитывают пользовательские «хитрости» при разгадывании паролей.

Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт:

Перебор по словарю: использование программы, которая автоматически комбинирует распространенные слова из словаря, используя их часто встречающиеся сочетания. Пользователи стараются придумывать пароли, которые легко запомнить, так что подобные методы взлома следуют очевидным шаблонам.

org/1999/xhtml»>Данные из социальных сетей и другая раскрытая вами личная информация также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях.

При брутфорс-атаках используются автоматические программы, перебирающие все возможные сочетания символов до тех пор, пока не найдется ваш пароль. В отличие от перебора по словарю, брутфорс-алгоритмы с трудом справляются с длинными паролями. А вот короткие пароли в некоторых случаях удается подобрать буквально за несколько часов.

Фишинг – это попытка заставить вас самостоятельно отдать мошеннику деньги или важную информацию. Мошенники обычно пытаются выдать себя за представителей организаций, которым вы доверяете, или даже за ваших знакомых. Они могут позвонить вам по телефону, написать SMS, электронное письмо или сообщение в соцсетях. Кроме того, они могут пользоваться поддельными приложениями, сайтами или аккаунтами в социальных сетях. Если вы считаете, что вам нужна защита от фишинга, рекомендуем вам установить Kaspersky Internet Security.

Утечки данных – это еще одна опасность, угрожающая и паролям, и другой важной информации. Компании все чаще становятся жертвами взлома; хакеры могут продавать или публиковать украденные данные. Утечки данных представляют для вас особенно большую угрозу, если вы используете один и тот же пароль в разных местах: весьма вероятно, что ваши старые аккаунты могут быть скомпрометированы, и это открывает для злоумышленников доступ и к другим вашим данным.

Как создать надежный пароль

Чтобы защититься от новейших методов взлома, вам нужны сверхнадежные пароли. Если вы хотите узнать, насколько надежен ваш пароль, и повысить его стойкость, мы подготовили несколько вопросов и советов, которые помогут вам:

  1. Ваш пароль длинный? Постарайтесь создать пароль длиной как минимум 10–12 символов, а лучше даже еще длиннее.
  2. Ваш пароль трудно угадать? Избегайте простых последовательностей («12345», «qwerty») – такие пароли подбираются за считаные секунды. По той же причине избегайте распространенных слов («password1»).
  3. Разнообразен ли состав символов в вашем пароле? Заглавные и строчные буквы, символы, цифры – всем им найдется достойное место в вашем пароле. Чем больше в пароле разнотипных символов, тем он менее предсказуем.
  4. Есть ли в вашем паролеочевидные подстановки символов? Например, ноль вместо буквы «О». Современные хакерские программы учитывают подобные замены, так что старайтесь их избегать.
  5. Есть ли в вашем пароле необычные сочетания слов? Кодовые фразы надежнее, если слова в них идут в неожиданном порядке. Даже если вы используете обычные слова, берите такие, которые не связаны друг с другом по смыслу, и расставляйте их нелогичным образом. Это поможет противостоять словарному подбору.
  6. Сможете ли вы запомнить свой пароль? Составляйте пароль так, чтобы он был понятен вам, но труден для машинного подбора. Даже случайные наборы символов можно запомнить, если они хоть сколько-нибудь читаемы, а также благодаря мышечной памяти. Но вот пароль, который не пустит в ваш аккаунт даже вас самих, бесполезен.
  7. Пользовались ли вы этим паролем раньше? Повторное использование паролей может скомпрометировать сразу несколько аккаунтов. Каждый пароль должен быть уникальным.
  8. Используете ли вы правило, которое трудно разгадать компьютеру? Например, пароль из трех 4-буквенных слов, в которых первые две буквы заменяются цифрами и символами. Выглядит это так: «?4ей#2ка?6цо» вместо «улейрукалицо»

Типы надежных паролей

Существует два основных подхода к составлению надежных паролей.

Кодовые фразы основаны на сочетании нескольких существующих слов. В прошлом довольно часто использовались редкие слова с подстановкой символов и вставкой случайных символов посередине, например «Tr1Ck» вместо «trick» или «84sk37b4LL» вместо «basketball». Сейчас алгоритмы взлома уже знакомы с этим методом, так что хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке. Или, как вариант, – предложение, которое разбивается на части, и эти части расставляются по правилам, известным только пользователю.

Пример кодовой фразы – «коровА!жгИ%алыЙ?фагоТъ» (здесь использованы слова «корова», «жги», «алый» и «фагот»).

Кодовые фразы работают, потому что:

  • их легко запомнить;
  • они устойчивы и к словарным, и к брутфорс-алгоритмам подбора.

Цепочки случайных символов – это бессистемные сочетания символов всех видов. В таких паролях задействованы строчные и прописные буквы, символы и числа в случайном порядке. Поскольку расстановка символов не следует никакому определенному методу, угадать такой пароль невероятно трудно. Даже специализированным программам могут понадобиться триллионы лет, чтобы взломать такой пароль.

Пример цепочки случайных символов: «f2a_+Vm3cV*j» (ее можно запомнить, например, с помощью мнемонической фразы: «фрукты два ананаса подчеркнули и добавили VISA музыка 3 цента VISA умножает джинсы»).

Цепочки случайных символов работают, потому что:

    w3.org/1999/xhtml»>
  • их практически невозможно угадать;
  • их очень сложно взломать;
  • их можно запомнить с помощью мышечной памяти и мнемотехники.

Примеры надежных паролей

Теперь, когда вы ознакомились с типами надежных паролей и правилами их составления, давайте закрепим эти знания.

Для этого мы возьмем несколько примеров хороших паролей и попробуем сделать их еще лучше.

Пример 1: dAmNmO!nAoBiZPi?

Почему этот пароль считается надежным?

  • Он соответствует кодовой фразе: «Дай мне мороженого! на обед из Питера?»
  • В нем используется правило: берутся только две первые буквы из каждого слова, каждая вторая буква пароля – прописная.
  • Пароль длинный – 16 символов.
  • В нем используются специальные символы: «!» и «?».
  • В нем используются прописные и строчные буквы.

Как улучшить этот пароль?

  • Добавьте символы, чтобы сделать его еще длиннее.
  • Добавьте цифры.
  • Пример: dAmNmO!7nAoBvPi?6
Пример 2: !HMnrsQ4VaGnJ-kK

Почему этот пароль считается надежным?

  • Он сгенерирован случайно с помощью генератора паролей.
  • Пароль длинный – 16 символов.
  • В нем используются специальные символы: «!» и «-»
  • В нем используются прописные и строчные буквы.

Как улучшить этот пароль?

  • Придумайте мнемоническую фразу, чтобы его запомнить.
  • Пример: «! ХЭВИ МЕТАЛ не решает слушай QUEEN 4 ВЕСЕЛЫХ ананаса ГОЛЬФЫ не ДЖИНСЫ — короче КОРОТКОГО»
w3.org/1999/xhtml»>Пример 3: яростьуткапростолуна

Почему этот пароль считается надежным?

  • Он основан на кодовой фразе, использующей несколько распространенных, но не связанных между собой слов.
  • Пароль длинный – 20 символов.

Как улучшить этот пароль?

  • Используйте разнообразные символы – строчные и прописные буквы, символы, числа.
  • Замените некоторые символы одного типа символами другого.
  • Пример: !Рость%Тка?Росто4Уна (использовано следующее правило: вторая буква каждого слова заменяется на строчную, первая – на символ).

Как пользоваться паролями и как их запоминать

Пароли предоставляют вам доступ ко множеству важных сервисов, так что храните их как можно надежнее.

w3.org/1999/xhtml»>Чтобы обеспечить безопасность:

  • Не записывайте пароли на бумажках.
  • Не храните пароли в приложении «Заметки» на телефоне.
  • Не сохраняйте пароли в автозаполнении браузера.

Вместо этого пользуйтесь следующими методами:

Активируйте двухфакторную аутентификацию на всех ваших самых ценных аккаунтах. Это дополнительная проверка безопасности после успешного ввода пароля. Для двухфакторной аутентификации используются методы, доступ к которым есть только у вас: электронная почта, SMS, биометрия (например, отпечаток пальца или Face ID) или USB-ключ. Двухфакторная аутентификация не пропустит мошенников и злоумышленников в ваш аккаунт, даже если они украдут ваши пароли.

Часто обновляйте самые важные пароли. И старайтесь, чтобы новый пароль был не похож на старый. Менять лишь несколько символов в прежнем пароле – вредная практика. Обновляйте пароли регулярно, например каждый месяц. Даже если вы обновляете не все пароли, регулярно меняйте их хотя бы для следующих сервисов:

  • интернет-банкинг;
  • оплата счетов;
  • основной пароль менеджера паролей;
  • социальные сети;
  • электронная почта;
  • личные кабинеты телефонного оператора и интернет-провайдера.

Наконец, помните: если ваш пароль удобен для вас, скорее всего, он удобен и для взломщиков. Сложные пароли – лучший способ защитить себя.

Используйте менеджер паролей, например Kaspersky Password Manager. Главное достоинство менеджера паролей – шифрование и доступ из любого места, где есть интернет. Некоторые продукты уже содержат встроенное средство для генерации и оценки надежности паролей.

Статьи по теме:

Какими должны быть пароли и как их запоминать

Все эксперты по безопасности постоянно говорят пользователям о том, как важно использовать устойчивые к взлому пароли и как важно, чтобы эти пароли были уникальными для каждого более или менее значимого сервиса.

Тем не менее очень многие пользователи относятся беззаботно к паролям своих учетных записей и используют конструкции типа password123, а такой пароль современными средствами взламывается ровно за шесть секунд, не говоря уже о том, что его очень легко просто подобрать.

Поэтому давайте в данной статье и поговорим о том, какими должны быть пароли, как их безопасно хранить и как научиться придумывать, а главное — запоминать устойчивые пароли.

Что такое устойчивый пароль

Устойчивость пароля характеризуется временем, которое нужно будет затратить злоумышленнику, чтобы тем или иным способом подобрать его. Пароль, для взлома которого требуется несколько секунд, минут или часов, является неустойчивым. Пароль, для взлома которого потребуется несколько месяцев или лет, является устойчивым.

Как повысить устойчивость пароля

Есть несколько стандартных рекомендаций по повышению устойчивости пароля.

1. В пароле не должны содержаться в неискаженном виде обычные слова, потому что средства взлома паролей прежде всего перебирают слова по словарю. И, кстати, фокус с написанием русских слов в английской раскладке запросто может не сработать: утилиты для взлома такие варианты тоже умеют перебирать.

2. Очень важную роль играет длина пароля. Она должна быть не менее 8 символов, а намного лучше, если их будет 12.

3. Пароли всегда регистрозависимые (оговорюсь, кроме «Сбербанка» с его идиотами-разработчиками), и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре.

4. Рекомендуется в пароле также использовать спецсимволы, это тоже очень сильно повышает его устойчивость.

5. Ну и добавление к паролю нескольких цифр также сильно влияет на повышение устойчивости.

Что нам может в этом помочь

В принципе нет никакой необходимости придумывать и запоминать устойчивые пароли, потому что есть специальные программы, называемые менеджерами паролей, и они это могут делать за вас. Конечно же, не следует пользоваться менеджером паролей, взятым неизвестно где и написанным неизвестно кем, но существуют десятки известных, проверенных и безопасных менеджеров паролей, которые используют миллионы людей.

Суть менеджера паролей очень проста. Вам нужно придумать и запомнить только один устойчивый пароль — для этого менеджера. А дальше менеджер будет сам генерировать и запоминать надежный пароль для каждого из сервисов, где вы регистрируетесь, ведь одно из важных требований безопасности — не использовать одинаковые пароли для разных сервисов.

Рассказ о менеджерах паролей и о том, что они вообще умеют делать, — тема отдельных статей, так что в данном случае я приведу только три наиболее характерных примера таких программ.

LastPass — очень известный менеджер паролей, который стал очень популярным прежде всего из-за того, что его бесплатная версия не содержит никаких ограничений на количество сохраненных паролей.

RoboForm — продвинутый менеджер паролей со многими возможностями, включая безопасное хранение конфиденциальной информации для заполнения форм (например, данных банковских карт, адресов и так далее). Сейчас в его бесплатной версии тоже нет ограничений на количество запомненных логинов (раньше такие ограничения были). hRh%GDrSTUso8. Генераторы паролей, обязательно входящие в состав любого менеджера паролей, всегда предоставляют возможность пользователю регулировать параметры создаваемого пароля.

Однако что делать, если вы не используете менеджер паролей? Как придумать, а главное — как запомнить устойчивый пароль? Потому что совершенно бессмысленный пароль, типа как указанный выше, запомнить невозможно.

Тем не менее способ есть. Достаточно несложных ухищрений, чтобы фраза, которая вам о многом говорит и которую вы совершенно точно не забудете, стала хорошим надежным паролем.

Мы говорили о том, что крайне нежелательно использовать обычные слова. Однако если буквы обычных слов вы напишете в разном регистре и будете перемежать эти буквы спецсимволами по определенному алгоритму, то пароль сразу станет вполне устойчивым.

Как зовут вашу первую учительницу в школе, имя которой вы никогда не забудете? Вера Ивановна Фролова?

Напишите ее имя и фамилию латинскими буквами в одно слово — verafrolova. Давайте проверим этот пароль в специальном сервисе от «Касперского» (это в любом случае безопасно, потому что мы проверяем сам принцип, а не конкретный пароль, который будем использовать).

Теперь сделаем очень простую вещь — имя и фамилию напишем с заглавных букв и проверим.

Уже веселее, но до устойчивости еще далеко. Давайте теперь просто заменим все буквы «о» символом «@». (Тут важно использовать спецсимвол, а не, например, цифру ноль, потому что с нулями пароль останется неустойчивым, а с этим спецсимволом — уже другое дело.)

Давайте еще усложним. Снова берем VeraFrolova и после каждой буквы ставим спецсимвол с клавиш с цифрами, двигаясь, например, от цифры 1 (можно и наоборот — вниз от «0», тут главное — чтобы вы для себя придумали и запомнили алгоритм). Не нужно брать все словосочетание, достаточно поставить спецсимволы только в имени (после каждой из первых четырех букв, например):

Уже хорошо. Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной, в состоянии? После каждой из первых четырех букв поставить спецсимволы, которые стоят над цифрами от 1 до 4 (или любых других, которые нужно будет запомнить раз и навсегда), в состоянии? Конечно.

Ну и чтобы увеличить надежность до совершенно фантастических величин, возьмите за правило добавлять еще несколько цифр. Немного, не надо писать длинный телефонный номер. Три цифры, но только те, которые вы отлично помните. Например, первые или последние три цифры вашего почтового индекса.

Как видите, ничего сложного. Вам просто нужно будет придумать и запомнить ваш собственный алгоритм. Например, после каждой из пяти первых букв символами над цифрами от 4 до 8. И в конце дописываем несколько цифр (например, ваш код от чемодана — там обычно 3-4 цифры).

Более того, напоминалку о таком коде можно записать в открытом виде — например, «УчиЛка 4-8 чемодан», и враг ни за что не догадается.

Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови — запросто.

Только для сложных для транслитерации имен-фамилий обязательно нужно использовать четкие правила, чтобы потом не гадать, как вы написали «щ», «ю» или «ц». Лучше всего делать транслитерацию прямо в этом сервисе, тогда уж точно никаких ошибок не будет.

Также есть масса других способов конструировать запоминающиеся пароли, один из них — составление пароля из первых букв начала какого-нибудь хорошо известного вам стихотворения.

Например, «Союз нерушимый республик свободных сплотила навеки великая Русь» — берем первые буквы: «снрсснвр», конвертируем в «snrssnvr», делаем первую и последнюю буквы заглавными, вбиваем четыре спецсимвола, добавляем код чемодана:

Пишем подсказку: «ГимН 1-4 чемодан».

И, кстати, текст какой-нибудь известной песни может стать вам своеобразным генератором паролей. Для одного пароля используете первые буквы первой строчки, для второго — второй строчки и так далее.

Вот и все! Видите, как просто создать очень устойчивый пароль, причем так, чтобы вы его и не забыли, и могли безопасно записать подсказку. Вам просто для себя один раз нужно придумать алгоритм по указанной выше методике и далее ему следовать.

Всякие полезности

1. Если вы используете менеджер паролей, то для него в качестве мастер-пароля должен быть придуман уникальный устойчивый пароль, который вы больше нигде не используете. При этом если менеджер пароля умеет разблокироваться по отпечатку пальца (Roboform такое умеет), то возьмите за правило хотя бы раз в день разблокировать менеджер паролем, а не отпечатком (чтобы вы себе об этом пароле постоянно напоминали).

2. Ваш почтовый ящик, на который завязаны подтверждения различных важных сервисов, должен иметь устойчивый и также уникальный пароль, который вы больше нигде не используете. Кроме того, крайне желательно, чтобы этот почтовый ящик не являлся вашим обычным ящиком для переписки и чтобы он нигде не светился, а использовался только для подтверждений.

3. Никогда не записывайте пароли в явном виде, но используйте подсказки, которые многое могут сказать вам, но ничего не могут сказать другим людям.

как сочинить и где хранить

Мы видим, что создать такой пароль, в котором выполнялись бы все или большинство перечисленных условий, — уже нетривиальная задача. Конечно, можно воспользоваться многочисленными сервисами и программами, предлагающими создать по-настоящему сложный стойкий пароль любой заданной длины. Проблема только в запоминании такого пароля. Вернёмся к обсуждению задачи хранения чуть позже, а пока рассмотрим технику создания сложных, но запоминаемых паролей.

Правила мнемотехники говорят нам, что лучше всего запоминается то, что имеет для нас смысл. Выделю «для нас», поскольку очень важно даже в качестве части пароля не использовать заезженные слова, давно попавшие во все словари злоумышленников. Однозначно нельзя использовать слова: password, secret, key и их тривиальные производные. Хорошей основой пароля будет любая максимально персонализированная информация, уникально значимая именно для вас. Предложу несколько идей на выбор:

  • номер автомобиля латиницей, заглавными буквами, например P450Ch299;
  • код домофона с номером квартиры, например 123#4398;
  • имя домашнего питомца с заглавной буквы, например Murzik;
  • ваше домашнее или школьное прозвище;
  • любимый герой мультфильма или книги, например Chernomor;
  • номер вашей группы в университете, например А-01-12.

Конечно, есть люди, которым известна данная информация, однако её очень трудно отождествить с вами как с пользователем сайта интернет-магазина. На всякий случай можно подстраховаться и использовать в качестве секретного слова что-то из вашего личного прошлого: номер своего первого автомобиля, который давно уже продан, имя домашнего питомца из детства и т. п. В итоге мы получим строчку символов, несущую смысл только для вас и по этой причине хорошо запоминаемую, а точнее, уже находящуюся у вас в памяти. Назовём все придуманные вами строчки базовыми парольными словами.

Сами по себе базовые парольные слова слишком короткие, чтобы использоваться в качестве пароля. Сделать пароль длиннее можно путем перечисления нескольких базовых парольных слов через какой-либо специальный знак, не обязательно разделительный. Можно взять, к примеру, восклицательный знак, или даже открывающуюся скобку. Взяв таким образом в цепочку 2—3 базовых слова, мы уже получаем отличный пароль, стойкость которого достигает достаточного уровня.

Такой пароль безусловно хорош, но нам ведь нужно уметь производить запоминающиеся пароли во множестве и без особых усилий. Комбинировать в разном порядке базовые парольные слова — плохая идея, поскольку порядок лишен смысла, и вы будете постоянно путаться. Кроме того, комбинаций небольшого числа мнемоничных базовых слов не так уж и много, в отличие от сайтов в интернете, с которыми вам потребуется иметь дело.

Решением этой проблемы является использование имени сайта непосредственно в качестве части пароля. Можно предложить схему «имя сайта»—«базовое слово №1»—«базовое слово №2». Количество символов, скорее всего, будет достаточным для стойкого пароля, а также не возникнет вопросов с придумыванием и запоминанием пароля для конкретного сайта.

Понятно, что такая схема (включая мелкие детали её реализации), а также базовые парольные слова должны оберегаться вами как самый большой секрет. Не стоит записывать пароли, созданные с помощью подобной схемы, поскольку посторонний человек, увидев два или три ваших пароля, мгновенно поймёт способ их генерации. Однако до тех пор, пока вы держите всё в голове, никто не сможет подобрать ваши пароли.

Иногда всё же приходится пароли записывать и хранить. Во-первых, иногда пароль создается самим сайтом и по какой-то причине его не хочется менять. Во-вторых, у вас наверняка есть уже пять, а то и десять паролей, которые вы запомнили, несмотря на их абсолютную бессмысленность, и вам жалко с ними расставаться. В-третьих, есть пароли, которые создаются для служебных целей и используются несколькими людьми. Конечно, такой пароль нельзя создавать по личной секретной схеме.

В любом случае, для хранения паролей есть места более удобные и надёжные, чем блокнот в письменном столе. Рассмотрим некоторые из подходящих вариантов.

Во-первых, очень удобно пользоваться менеджером паролей в браузере. В этом случае пароли ассоциируются с сайтами и часто ввод логина и пароля производится браузером автоматически, экономя время и повышая удобство. Важно отметить, что менеджер паролей в браузере должен быть защищён своим паролем. Этот мастер-пароль должен быть стойким и для него стоит использовать иную схему, чем обычно. Например, составьте его из других базовых слов.

Не рекомендую хранить пароли даже в запароленном менеджере на компьютере, который не является вашим персональным и к которому может иметь легитимный доступ большое количество людей. В таком случае при посещении сайтов, требующих ввода пароля, всегда следите, чтобы сайт не запомнил случайно ваш логин и пароль для последующего входа. Если вы всё-таки случайно дали браузеру запомнить свои данные аутентификации, то в настройках приватности браузера всегда можно стереть информацию об этом сайте.

Во-вторых, пароли можно хранить в специальных программах-менеджерах паролей, которые устанавливаются на смартфон. Вход в такую программу всегда защищён отпечатком пальца, графическим ключом или паролем, так что случайный человек не получит доступа к вашим секретам, даже если вы потеряете смартфон.

Программы — менеджеры паролей делятся на два больших класса: требующие доступ в интернет для своей работы и работающие автономно. С точки зрения здоровой паранойи не вижу смысла доверять программе, которая хранит мои секреты, используя интернет. Объективно такая программа без труда может передавать всю хранимую информацию разработчику программы, что делает бессмысленной саму задачу защиты ваших паролей от чужих глаз. Автономные программы хранят зашифрованные пароли на самом мобильном устройстве, что позволяет вам быть уверенными в их секретности.

Единственная проблема с автономным хранилищем паролей — это возможная потеря или выход из строя смартфона. Для этой цели зашифрованную базу с паролями нужно периодически сохранять в каком-либо онлайн-хранилище либо копировать на отдельный носитель (извлекаемую карту памяти). Таким образом, ваши пароли будут не только секретными, но и надёжно защищенными от потери.

«Правила для паролей бесполезны, никогда не используйте их в своих проектах»

Правила для паролей и валидация паролей в целом — полный отстой, они сделают безопасность вашего проекта только хуже. Скорее всего, на выходе вы получите что-то вроде такого:

  • «Мой Безопасный Пароль» ←Извините, пробелы запрещены;
  • «МойБезопасныйПароль» ← Извините, пароль должен содержать цифру;
  • «МойБезопасныйПароль1«← Извините, пароль должен содержать спец. символ;
  • «МойБезопасныйПароль%1» ← Извините, символ «%» запрещен;
  • «МойБезопасныйПароль_1» ← Извините, пароль должен быть короче 16 символов;
  • «Задница» ← Извините, пароль должен быть длиннее 7 символов;
  • «Идите_в_задницу» ← Пароль не должен содержать оскорбления;
  • «Пароль_1» ← Пароль принят.

Придумывая глупые правила для паролей, вроде обязательного наличия 1 специального символа или цифры, вы усложняете жизнь не потенциальному взломщику, а пользователю — запомнить пароль с несколькими спец. символами намного сложнее, а вот компьютеру всё равно, какие символы перебирать, он будет делать это так же быстро.

Именно это отлично иллюстрирует классический комикс XKCD:

В сегодняшнем мире облачных вычислений и сверхбыстрых процессоров пароль длиной 8 символов (даже спец. символов!) — это всё равно, что отсутствие пароля вовсе. Истина в том, что одна из вещей, которые на самом деле имеют значение — это длина.

Но не только длина, потому что… ну, вы встречали когда-нибудь реальных юзеров? Это люди, которые делают бесполезной любую защиту. Так что приготовьтесь к тому, что, если даже пароли будут длинными, они будут небезопасными:

aaaaaaaaaaaaaaaaaaa
0123456789012345689
passwordpassword
usernamepassword

Скорее всего, в первую очередь хакеры попробуют брутить по базе самых популярных паролей: как известно, примерно 30% пользователей используют на своих аккаунтах один из паролей из базы и 1,6% — пароль из первой десятки самых популярных.

Поэтому следующим правилом будет: ищите введенный пользователем пароль в базах, и в случае его обнаружения там, просите придумать новый.

Кстати, эти базы популярных паролей позволяют сделать интересные выводы и о длине:

Заметим, что только 5 из 25 популярнейших паролей состоят из 10 символов, так что если мы разрешим ставить пароли длиной от 10 символов, то уже снизим степень подверженности бруту по базе на 80%.

На этом можем сделать вывод, что 10 — та самая оптимальная минимальная длина пароля для ваших пользователей. Если это модератор или администратор, взлом профиля которого нанесет больший ущерб, то длину пароля стоит сделать не меньше 15 символов.

Третье правило: не забывайте о Unicode. Дело в том, что реальная длина пароля может не совпадать с количеством символов, например, если это эмодзи или китайский язык. Как насчет этого пароля из четырёх символов?

Его реальная длина — 8. Потому что:

"?".length === 2

Пароль из шести иероглифов или смайликов намного безопаснее, чем из 6 обычных символов, даже если он содержит большую букву, цифру и нижнее подчеркивание.

Всё, что от вас нужно — это обеспечить, чтобы в поле ввода пароля можно было ввести практически любой Unicode-символ.

Конечно, иногда правила для паролей бывают не такими уж и бесполезными, но в основном таких случаев только 3:

  • Не разрешайте использовать пароль, совпадающий с логином;
  • Не разрешайте использовать пароль, совпадающий с e-mail;
  • Не разрешайте использовать пароль, совпадающий с адресом сайта.

В остальном правила для паролей — это полный bullshit. Учитывайте длину.

Источник: CodingHorror

советов по паролю | Колледж искусств и наук

Служба технической поддержки Колледжа искусств и наук Университета Западного Мичигана предлагает следующие советов по выбору надежного пароля .

Поскольку очень немногие системы поддерживают одноразовые токены (динамические пароли, которые используются только один раз), каждый должен знать, как выбирать надежные пароли. Если злоумышленник может получить или «взломать» ваш пароль, он сможет получить доступ к системе с вашей личностью и вашими правами доступа.& * () _- + = {[}] | \ :; «‘<,>.? /

  • Не используйте все буквы или все цифры и не используйте словарные слова на каком-либо языке или их перестановки. Избегайте использования общих слов, таких как «Western» или «Bronco», ваше имя, имя учетной записи, общие имена людей или мест, технический жаргон, повторяющиеся последовательности и последовательности клавиш. Не основывайте свой пароль на каких-либо элементах личной информации, таких как ваше имя, номер социального страхования, день рождения, имена домашних животных или члена семьи, и не используйте имя вашей учетной записи в качестве пароля.Не используйте компьютерные термины, имена, команды, сайты или названия программного обеспечения компании, а также не используйте шаблоны слов или чисел, такие как abcdefg, qazxsw, qwerty или zxcvbn.
  • Используйте произвольные произносимые слоги, чтобы составлять слова, которые легко запомнить. Используйте аббревиатуры для необычных этапов, которые вы изобретаете (например, «WCMPE120D» для = «зачем менять мой пароль каждые 120 дней» или «Tbontbtitq» для «Быть ​​или не быть, вот в чем вопрос», затем заменяйте символы (см. Следующий пункт)
  • Подстановка символов — это когда вы берете слово из словаря в нижнем регистре и заменяете его специальными символами, цифрами и прописными буквами, чтобы сделать их более сложными.Примеры распространенных замен:
    • $, S или 5 за s
    • 1, я или! для i
    • @ или A для
    • 7 или Т для т
    • 3 или E для e
    • 9, G или 6 для g
    • 0 или O для o
    • 8 или B для b
    «Tbontbtitq» для «Быть ​​или не быть, вот в чем вопрос» превратилось бы в «7b0n7B7! 7?»
  • Составьте один длинный пароль из двух отдельных слов. Вам также необходимо будет выполнить замену символов, чтобы пароль соответствовал требованиям сложности.

    Примеры:
    Internet Explorer — 1nt3rN3TeXp70r3R
    счастливых дней — hapPyDaY $?
    хороший мальчик — 60odB0y!

  • Заменить коды или слова другими словами (вставить числа между буквами исходного слова).

    Примеры включают (исходное слово — шаблон / код / ​​слово для вставки пароля):

    • Интернет с удвоением номеров (например, 1,2,4,8,16 — I1n2T3e4R8n16E32t!)
    • Сегодня мой любимый цвет — оранжевый — t0oRdaaNyGe
    • Любимая футбольная команда Джона — Тигры — Jt0iHgN3r $

  • Создайте пароль из фраз с заменой символов.Фразами могут быть высказывания, локации, строчки из книг, фильмов и т. Д.

    Примеры:

    • Следующее поколение — это вы. Первая и последняя буква каждого слова = Тентгнисю — 73n79N! $ YU!
    • Main Street, 45 — Первые 2 буквы в слове с числом между ними. Первая буква каждого слова заглавными буквами — Fo1Fi2Ma3St4 или Fo1F! 2M @ 3St4
    • Сейчас я вожу холден-коммодор — Первая буква каждого слова с символами моего номерного знака между (предположим, что номерной знак — ABC 123) = iAdBaCh2c2n3 или! AdB @ Ch2c2n3!

    • Защита пароля

    Не используйте тот же пароль для учетных записей Университета Западного Мичигана, что и для учетных записей Университета Западного Мичигана (т.е., личные счета провайдера, брокерские счета, счета льгот). Если один пароль учетной записи скомпрометирован, все учетные записи могут быть скомпрометированы. Не сообщайте свои пароли от университета никому, включая помощников по административным вопросам, руководителей, секретарей или коллег. Все пароли следует рассматривать как конфиденциальную информацию Университета Западного Мичигана.

    Чтобы лучше защитить свои пароли, не делайте этого:

    • Сообщите свой пароль по телефону кому угодно, включая персонал службы поддержки вашего компьютера.Персонал службы поддержки никогда не должен инициировать звонок с просьбой ввести пароль.
    • Обсуждайте свой пароль с другими.
    • Укажите пароль в анкетах.
    • Поделитесь своим паролем с коллегами во время отпуска.
    • Используйте функцию запоминания пароля в приложениях (например, Netscape Messenger, Outlook, Outlook Express, Eudora).
    • Запишите пароли или храните их где-нибудь рядом с вашим компьютером.
    • Храните пароли в файле на любой компьютерной системе (включая сотовые телефоны) без использования надежного шифрования.

    Если вы подозреваете, что ваша учетная запись или пароль были скомпрометированы, сообщите об этом событии соответствующему системному администратору и администратору информационной безопасности университета и немедленно измените свой пароль.

    Если кто-то требует ваш пароль, порекомендуйте его или ее своему системному администратору или администратору безопасности университета в Управлении информационных технологий.

    Специальные символы пароля | OWASP

    Автор: Павел Кравчик

    Специальные символы пароля — это набор знаков пунктуации, которые присутствуют на стандартной американской клавиатуре и часто используются в паролях.

    Персонаж Имя Юникод
    Космос U + 0020
    ! Восклицательный U + 0021
    Двойная кавычка U + 0022
    # Знак числа (решетка) U + 0023
    $ Знак доллара U + 0024
    % процентов U + 0025
    и Амперсанд U + 0026
    Одиночная кавычка U + 0027
    ( Левая скобка U + 0028
    ) Правая скобка U + 0029
    * Звездочка U + 002A
    + плюс U + 002B
    , запятая U + 002C
    Минус U + 002D
    . Каре U + 005E
    _ Подчеркивание U + 005F
    ` Могильный акцент (обратная кавычка) U + 0060
    { Левая скоба U + 007B
    | Вертикальная полоса U + 007C
    } Правая скоба U + 007D
    ~ Тильда U + 007E

    Тот же список, что и строка (в двойных кавычках): "!" # $% & '() * +, -._` {|} ~ "

    Различные операционные системы и приложения могут накладывать ограничения на этот набор:

    Ноу-хау: Советы по созданию надежных паролей

    Чтобы создать надежный пароль, по возможности используйте генератор паролей в Password Depot: выберите максимально допустимое количество символов и все разрешенные типы символов для максимальной безопасности. Вам не нужно запоминать пароли, сгенерированные генератором паролей, потому что вы храните их в Password Depot. Таким образом, они могут быть очень длинными и сложными.

    Однако, если по какой-либо причине вы хотите создать пароль «вручную», эти советы помогут вам в дальнейшем.

    Советы по созданию надежных паролей

    Вот полезные советы, которые следует учитывать при создании надежных паролей.

    Много символов: Используйте как можно больше символов для своего пароля, поскольку каждый дополнительный символ повышает его безопасность. Используйте не менее восьми-десяти символов, но желательно столько символов, сколько позволяет целевая система.

    Избегайте: Коротких паролей («привет», «abc»…) или пароли из одного символа («a», «1» …)

    Различных знаков: Не повторять ни символов, ни строк — независимо от типа символов (буквы, цифры, знаки препинания, символы).

    Избегайте: «ababab», «aaaaa». И т. Д.

    Различные типы символов: Используйте буквы верхнего и нижнего регистра, а также цифры, знаки препинания и специальные символы. В идеале вы должны использовать все разрешенные типы символов. Не делайте этого, если ваш пароль длиннее.

    Избегайте: паролей, состоящих только из букв или цифр.

    Без строк: Избегайте шаблонов, касающихся букв, цифр и ввода с клавиатуры.

    Избегайте: «12345», «abcde», «asdfg» …

    Не заменять буквы похожими символами: Замена букв на похожие цифры или специальные символы не обманет хорошего хакера. Следовательно, замена буквы «o» на цифру «0», «i» на «1» или «a» на «@» («P @ word») имеет ограниченное применение.Поэтому не заменяйте «i» на «1», а на специальный символ, например, «$».

    Избегайте: «P @ ssw0rt», «M1crosoft» …

    Без личных предпочтений: Ни имен , ни номеров . Не используйте имена родственников, знакомых или имена домашних животных. Также никаких личных номеров, например с телефона или машины.

    Избегайте: «Мамочка», «Милая», «DA-AB-309» …

    Никаких личных предпочтений: Личные предпочтения так же легко угадать, как личные имена и номера.Так что не выбирайте в качестве пароля любимую еду, спорт, локации, сериалы и т. Д.

    Избегайте: «PizzaSalami», «BayernMünchen», «Bodensee» …

    Нет словарных статей . Если в словаре есть слово, это небезопасно, независимо от длины и словаря. Потому что хакерские программы могут систематически пробовать словарные статьи.

    Избегайте: «Duden», «Donauschifffahrtsdampfer» …

    Изменение: Регулярно меняйте пароли — чем чаще они защищают конфиденциальные данные, тем короче пароли.В качестве приблизительного ориентира пароли длиной менее восьми символов следует менять еженедельно, от восьми до десяти символов ежемесячно и более двенадцати символов каждые шесть месяцев.

    Password Depot Совет: Let Password Depot напомнит вам о необходимости обновления ваших паролей. Заполните поле «Действителен до». Это позволяет вам определять индивидуальный срок действия для каждой записи.

    Разновидность: Используйте разные пароли для каждой учетной записи. Никогда не используйте одинаковые или похожие пароли для нескольких учетных записей.

    Сводка:

    • Пароль должен использовать максимального количества символов , разрешенного каждой учетной записью.
    • Он должен содержать все символы, разрешенные учетной записью, например цифр, знаков препинания и специальных символов . Аналогичным образом следует смешивать прописных и строчных букв.
    • Если пароль можно найти в словаре или в другом словаре , то это не безопасный пароль — независимо от длины! Программы, которые могут взламывать пароли, работают со словарями и систематически пробуют записи.
    • Вы не должны использовать имена членов семьи или вашего домашнего животного. Точно так же у нет номеров телефонов, номерных знаков или других данных, которые можно было бы легко узнать о вас.
    • Они также используют никогда не простые комбинации клавиатуры , такие как «asdf» или «jklö».

    ВАЖНО: Регулярно меняйте пароли. Чем конфиденциальнее данные, тем чаще следует менять пароль. Используйте поле «Действителен для», чтобы автоматически напоминать Password Depot о необходимости обновления пароля.

    Советы по созданию мастер-пароля в хранилище паролей:

    Из вышеупомянутых советов вы найдете следующие советы по созданию безопасного мастер-пароля для хранилища паролей:

    Создайте безопасный мастер-пароль, используя первые буквы простого пароля. запомнить фразу. «Я использую надежные пароли в Password Depot и использую это уже 10 лет», — передает пароль «IvsKiPDudss10J». Чтобы сделать этот пароль еще более надежным, замените букву «s» специальным символом, например «#».».

    Рекомендации по созданию надежных паролей · Информационные технологии · Колледж Лафайет

    Согласно политике службы информационных технологий (ITS) пароли, используемые для доступа к компьютерным системам в Lafayette, должны быть надежными. ITS настоятельно рекомендует использовать надежные пароли для всех других компьютерных систем.

    Надежный пароль — это более надежный пароль, поскольку его сложно угадать машине или человеку. Надежность пароля может быть достигнута за счет включения следующих характеристик: чем больше характеристик вы включите в свой пароль, тем он будет надежнее.

    Характеристики надежных паролей
    • Не менее 8 символов — чем больше символов, тем лучше
    • Смесь прописных и строчных букв
    • Смесь букв и цифр
    • Добавление хотя бы одного специального символа, например,! @ #? ]
      Примечание: не используйте <или> в своем пароле, так как оба могут вызвать проблемы в веб-браузерах

    Надежный пароль сложно угадать, но его будет легко запомнить — пароль, который нужно записать, не является надежным, независимо от того, сколько из вышеперечисленных характеристик используется.

    Хотя все системы, использующие Lafayette NetID и пароль для аутентификации, поддерживают пароль с указанными выше характеристиками, обратите внимание, что другие системы могут не поддерживать такие же надежные пароли. Например, система может не распознавать регистр, может иметь ограничение на количество символов или может не разрешать специальные символы. ITS рекомендует, чтобы в таких ситуациях пользователи использовали столько характеристик надежных паролей, сколько позволяет система.

    Примеры слабых паролей
    • Любое слово, которое можно найти в словаре на любом языке (например,г., самолет или aeroplano ).
    • Слово из словаря, в котором некоторые буквы просто заменены числами (например, a1rplan3 или aer0plan0).
    • Повторяющийся символ или последовательность символов (например, AAAAA или 12345).
    • Набор символов на клавиатуре (например, qwerty или poiuy).
    • Личная информация (например, дни рождения, имена домашних животных или друзей, номер социального страхования, адреса).
    • Все, что записано и хранится где-то рядом с вашим компьютером.
    Советы по обеспечению безопасности пароля
    • Меняйте его регулярно — раз в три-шесть месяцев.
    • Измените его, если у вас есть малейшее подозрение, что пароль стал известен человеку или машине.
    • Никогда не используйте его для других сайтов.
    • Не набирайте его на компьютерах, которым вы не доверяете; например, в интернет-кафе.
    • Никогда не сохраняйте его для веб-формы на компьютере, который вы не контролируете или который используется более чем одним человеком.
    • Никогда никому не рассказывай.
    • Никогда не записывайте.
    Советы по созданию надежного пароля

    Придумайте слово или фразу, а затем замените буквы цифрами и специальными символами и смешайте регистр. Например:

    • Snoopy and Woodstock становится Sno0py & ws
    • В собачьей будке становится ! NTh4dawgHs
    • Давай поужинаем в 20:00. становится Lhd @ 800pm

    Придумайте слово и число, затем смешайте их и смешайте падеж.Например, название вашей начальной школы ( Main Street Elementary), а также месяц и год рождения вашего питомца ( 12/96 ) станут m1A2 / i9n6

    .

    html — почему использование специальных символов в паролях считается надежным паролем?

    Конечно. Объяснять это очень долго, и это превышает мои скромные способности, поэтому вам нужно будет прочитать о концепции энтропии в теории информации . Более простое объяснение из Википедии:

    Пароли, созданные человеком

    Общеизвестно, что люди не умеют достигать достаточной энтропии для создания удовлетворительных паролей.Некоторые сценические фокусники в незначительной степени используют эту неспособность для развлечения, угадывая предполагаемые случайные выборы (скажем, чисел), сделанные членами аудитории.

    Таким образом, в одном анализе более 3 миллионов восьмисимвольных паролей буква «е» использовалась более 1,5 миллиона раз, а буква «f» — только 250 000 раз. При равномерном распределении каждый символ использовался бы примерно 900 000 раз. Чаще всего используется цифра «1», тогда как наиболее распространенные буквы — это a, e, o и r.

    Пользователи редко в полной мере используют большие наборы символов при формировании паролей. Например, результаты взлома, полученные с помощью фишинговой схемы MySpace в 2006 году, выявили 34 000 паролей, из которых только 8,3% использовали смешанный регистр, числа и символы.

    Обратите внимание, что полная надежность, связанная с использованием всего набора символов ASCII (цифр, букв в смешанном регистре и специальных символов), достигается только в том случае, если каждый символ в пароле выбирается случайным образом из этого набора. Использование заглавной буквы и добавление одной или двух цифр и специального символа к паролю не приведет к одинаковой стойкости.Если числа и специальные символы добавляются предсказуемым образом, например, в начале и в конце пароля, они могут даже снизить надежность пароля по сравнению со случайным паролем из всех букв той же длины. Специальная публикация NIST 800-63

    Специальная публикация NIST 800-63 от июня 2004 г. предлагает следующую схему для приблизительной оценки энтропии паролей, сгенерированных человеком: 2

      Энтропия первого символа составляет четыре бита;
Энтропия следующих семи символов составляет два бита на символ;
Знаки с девятого по двадцатый имеют 1.5 бит энтропии на символ;
Персонажи 21 и выше имеют один бит энтропии на символ.
«Бонус» в шесть битов добавляется, если используются как прописные буквы, так и неалфавитные символы.
«Бонус» в шесть битов добавляется для паролей длиной от 1 до 19 символов после обширной проверки словаря, чтобы убедиться, что пароль не содержится в большом словаре. Пароли из 20 или более символов не получают этот бонус, потому что предполагается, что они являются парольными фразами, состоящими из нескольких словарных слов.

    Используя эту схему, восьмизначный пароль, выбранный человеком, без прописных букв и неалфавитных символов, оценивается как имеющий 18 бит энтропии. Публикация NIST признает, что во время разработки было мало информации о реальном выборе паролей.

    Более позднее исследование энтропии паролей, выбранных человеком, с использованием недавно доступных реальных данных продемонстрировало, что схема NIST не обеспечивает достоверную метрику для оценки энтропии паролей, выбранных человеком.Рекомендации по удобству использования и реализации

    Поскольку реализации национальных клавиатур различаются, не все 94 печатаемых символа ASCII можно использовать везде. Это может стать проблемой для международного путешественника, желающего войти в удаленную систему с клавиатуры на локальном компьютере. См. Раскладку клавиатуры. Многие портативные устройства, такие как планшетные компьютеры и смартфоны, требуют сложных последовательностей смен для ввода специальных символов.

    Программы аутентификации различаются по символам, которые они разрешают в паролях.Некоторые не распознают различия в регистре (например, заглавная буква «E» считается эквивалентной строчной букве «е»), другие запрещают использование некоторых других символов. В последние несколько десятилетий системы позволяли использовать больше символов в паролях, но ограничения все еще существуют. Системы также различаются по максимально допустимой длине паролей.

    или, говоря языком непрофессионала: для каждого дополнительного байта, который вы добавляете над буквенно-цифровыми параметрами, вы делаете пароли более сложными и трудными для взлома.

    Подробнее здесь

    А использование спецсимволов в паролях — это плохо?

    Большинство так называемых средств проверки надежности паролей не понимают правильно ни пароли, ни энтропию. У меня всегда находил что-то нелепое, что выдается за надежный пароль. Попробуйте указать свое имя и дату рождения (с точками или косыми чертами, в зависимости от вашего региона). Здесь есть ваши прописные и строчные буквы, специальные символы и цифры, но никто в здравом уме не порекомендует это в качестве пароля.

    И все же «JohnDoe01.01.1980» оценивает «220 триллионов лет» на https://howsecureismypassword.net/ и 100% на http://www.passwordmeter.com/.

    https://www.my1login.com/resources/password-strength-test/ — единственная обнаруженная мной программа проверки, которая понимает глупость — введите этот пример и посмотрите, как его оценка меняется от «фантастической» к «средней» при вводе последнее число, и он «получает», что есть календарная дата.

    Итак: Используйте больше, чем примитивные механизмы вычисления энтропии для определения паролей.

    Для вашего конкретного случая это означает:

    на бумаге расширение набора символов резко увеличивает пространство поиска и должно сделать пароли более безопасными. на самом деле 99,9% пользователей будут использовать свои собственные языковые стандарты, а испанский a или немецкий умляут — это всего лишь несколько дополнительных символов, а не — все пространство UTF-8. Потому что было бы глупо предполагать, что злоумышленник не принимает во внимание элементарную человеческую природу.

    Есть еще аспекты юзабилити.Однажды мне пришлось удаленно войти в свою учетную запись из японского интернет-кафе, и это было определенно не весело. Если бы мое имя пользователя, пароль или любая из необходимых мне команд содержали символы, отличные от ASCII, я не думаю, что это было бы каким-либо образом.

    Если удаленно возможно, что вам, возможно, придется войти в систему с другой клавиатуры, чем та, которую вы используете сейчас, слишком специальные символы будут держать вас подальше от вашей учетной записи лучше, чем забытый пароль.

    И давайте даже не будем говорить о Unicode и его многочисленных неработающих реализациях, которые могут вызвать дополнительные проблемы.

    Это также некоторые из причин, по которым генераторы паролей избегают символов, отличных от ASCII:

    Недостаточно дополнительной защиты, чтобы компенсировать все потенциальные проблемы.

    И пожалуйста, пожалуйста, миленькая, пожалуйста — не думайте о сложности пароля. Это соломенный мост из змеиного масла. Длина превосходит сложность в любой день, и если вы используете генераторы паролей, вы, вероятно, также храните их в диспетчере паролей и не заботитесь о том, набираете ли вы 10, 20, 40 или 200 символов.

    Лучший совет №1 по безопасности паролей — использовать новый длинный случайный пароль для каждого Интернет-сайта, на котором вы регистрируетесь, чтобы ваш пароль не был потерян при следующем взломе. Потому что вы не можете быть уверены, что они правильно хэшируют и солят их, а если они этого не сделают, то вся сложность и специальные символы в мире не имеют никакого значения.

    Веб-приложение

    — Какие символы нельзя разрешать в паролях?

    Могут возникнуть проблемы с символами, отличными от ASCII. Пароль — это последовательность глифов, но для обработки пароля (хеширования) потребуется последовательность из битов , поэтому должен существовать детерминированный способ преобразования глифов в биты.Это целое мутное болото кодовых страниц. Даже если вы будете придерживаться Unicode, возникнут проблемы:

    • Один символ может иметь несколько декомпозиций в виде кодовых точек. Например, символ «é» (который очень часто встречается во французском языке) может быть закодирован либо как одна кодовая точка U + 00E9, либо как последовательность U + 0065 U + 0301; обе последовательности должны быть эквивалентными. Получите ли вы одно или другое, зависит от соглашений, используемых устройством ввода.

    • Строка Unicode — это последовательность из кодовых точек (которые являются целыми числами в диапазоне от 0 до 1114110).Существует несколько стандартных кодировок для преобразования такой последовательности в байты; наиболее распространенными будут UTF-8, UTF-16 (прямой порядок байтов), UTF-16 (прямой порядок байтов), UTF-32 (прямой порядок байтов) и UTF-32 (прямой порядок байтов). Любой из них может начинаться или не начинаться с спецификации.

    Следовательно, одиночный «é» может быть осмысленно закодирован в байты по крайней мере с двадцатью различными вариантами, и это при соблюдении «основного потока Unicode». Кодировка Latin-1 или ее аналог от Microsoft также широко распространена, поэтому сделайте это 21.Какое кодирование будет использовать данное программное обеспечение, может зависеть от множества факторов, в том числе от локали. Это неприятно, когда пользователь больше не может войти на свой компьютер, потому что он переключил конфигурацию с «Канадский — Английский» на «Канадский — Французский».

    Экспериментально , большинство проблем такого рода можно избежать, ограничив пароли диапазоном печатаемых символов ASCII (с кодами от 32 до 126 — лично я бы избегал пробелов, поэтому сделайте это 33 –126) и монобайтовая кодировка (без спецификации, один символ становится одним байтом).Поскольку пароли предназначены для ввода на различных клавиатурах без визуальной обратной связи, список символов должен быть еще более ограничен для оптимального использования (я ежедневно борюсь с канадскими раскладками, где то, что написано на клавиатуре, не обязательно соответствует тому, что думает машина. есть, особенно при прохождении одного или двух вложенных соединений RDP; символы ‘<', '>‘ и ‘\’ чаще всего перемещаются). Используя только буквы (прописные и строчные) и цифры, все будет в порядке.

    Можно сказать, что ответственность несет пользователь; он может использовать любые символы, которые он пожелает, до тех пор, пока он занимается проблемой их набора. Но это не совсем логично: когда у пользователей возникают проблемы, они звонят по номеру в вашу службу поддержки , и вы должны принять на себя часть их ошибок.

    .

    Published in Разное

    Ваш комментарий будет первым

      Добавить комментарий

      Ваш адрес email не будет опубликован. Обязательные поля помечены *