Нажмите "Enter", чтобы перейти к содержанию

Каким должен быть пароль: Как создавать надежные, уникальные и запоминающиеся пароли

Как создавать надежные, уникальные и запоминающиеся пароли

Одна из распространенных традиций в информационной безопасности — это регулярная смена паролей. Например, многие компании заставляют сотрудников менять пароль для входа в свои рабочие аккаунты каждые три месяца. Предполагается, что это помогает уберечься от взлома. Рассказываем, почему это не совсем верно.

К паролям есть два требования, которые могут показаться не очень-то совместимыми. С одной стороны, чтобы надежно защитить учетную запись, нужно придумать пароль, который будет трудно подобрать. С другой стороны, этот пароль должно быть легко запомнить, иначе им невозможно будет пользоваться. Регулярная смена паролей действительно отчасти помогает с первым требованием, но второе делает трудновыполнимым.

Нам трудно постоянно заучивать длинные и сложные комбинации символов — мы же люди, а не роботы. Человек пытается «обмануть систему», так уж он устроен. Когда нас заставляют сменить пароль, мы не придумываем новый — мы просто немного меняем старый.

Для примера возьмем пароль batman2018. Если нужно будет его сменить, многие, скорее всего, просто сделают так: batman2019. Система воспримет этот пароль как новый, но по сути он остался тем же самым. И если старый пароль каким-то образом попадет в руки злоумышленникам, им несложно будет угадать новый.

View this post on Instagram

А как у вас дела с паролями?

A post shared by Лаборатория Касперского (@kasperskylabrus) on

На самом деле постоянно менять пароли не так уж эффективно. Гораздо лучше использовать надежные и, что особенно важно, уникальные комбинации символов. Об этом мы сейчас и поговорим.

Почему пароль обязательно должен быть уникальным

Казалось бы, имеет смысл придумать один максимально надежный пароль и использовать его для всех аккаунтов. Тогда все они будут хорошо защищены, а уж один набор символов, пусть и сложный, запомнить можно — беспроигрышная ситуация!

Так было бы в идеальном мире, но наш мир, увы, не идеален. Утечки данных случаются регулярно, и пароли попадают в руки злоумышленников — как пользователь вы ничего не можете с этим поделать. Если вы везде используете один и тот же пароль, всего одна утечка — и все ваши аккаунты будут под угрозой. Иными словами, вы не убиваете одним выстрелом двух зайцев, а, скорее, кладете все яйца в одну корзину.

Надежный пароль — это какой?

Каким должен быть пароль, чтобы его можно было назвать «надежным»? Развернутый ответ будет длинным и сложным (математические расчеты и все такое), но принципиально важны две простых вещи. Во-первых, в нем нужно использовать как можно более разнообразные символы (так ваш пароль будет менее предсказуемым, а значит, более надежным). Во-вторых, пароль должен быть длинным — и чем длиннее, тем лучше.

К счастью, эти свойства компенсируют друг друга: если вам трудно запомнить все эти #, %, & и прочие закорючки, вы можете просто сделать комбинацию на несколько символов длиннее.

И еще: надежный пароль вовсе не должен быть случайным набором символов. Рандомные комбинации, несомненно, хороши с точки зрения безопасности, но запоминать их — настоящая пытка. Лучше придумайте легко запоминаемый пароль, но подлиннее, минимум 12 символов — а лучше больше.

Надежные и уникальные пароли, которые легко запомнить

На самом деле запоминать сложные и уникальные пароли проще, чем кажется на первый взгляд. Нужно просто знать правильный подход. Сложный на вид (и для запоминания) и сложный для взлома — это совсем не одно и то же.

К примеру, легко запоминаемый пароль 12345-vyshel-zaychik-naprimer и страшная комбинация символов ?Y]G9gWJ48zYkFBc@{nKw!’q обладают близкой надежностью — а на вид и не скажешь, верно? Фокус в том, что «зайчик» компенсирует все свои недостатки большей длиной.

Дэвид Якоби (David Jacoby), аналитик нашего Глобального центра исследования и анализа угроз (GReAT), простым и понятным языком объясняет, как правильно обращаться с паролями. В своей статье он рассказывает, как придумать свою собственную «систему запоминания паролей», с которой вы больше их не забудете.

И напоследок еще пара советов, которые помогут вам усилить защиту аккаунтов. Во-первых, включите двухфакторную аутентификацию для всех своих учетных записей. Во-вторых, попробуйте использовать менеджер паролей в качестве «Плана Б».

Советы

Восемь самых ярких криптокраж в истории

Криптоолимпиада, или все разнообразие атак на блокчейн: самые крупные, сложные, дерзкие и обидные кражи криптовалюты.

Дырявая миска, или опасности смарт-кормушек

Умные кормушки были придуманы, чтобы облегчить жизнь владельцам домашних животных. Но их уязвимости ставят под угрозу не только конфиденциальность хозяев, но и здоровье животных.

Осторожно, домены .zip и .mov!

Имена сайтов в зонах zip и mov неотличимы от имен файлов. Как это повлияет на IT-системы и что будут делать злоумышленники?

Знай свой личный ландшафт угроз

Понятие ландшафта угроз из корпоративной безопасности можно применить и к самому себе — так проще оставаться в безопасности.

Подпишитесь на нашу еженедельную рассылку
  • Email*
  • *
    • Я согласен(а) предоставить мой адрес электронной почты АО “Лаборатория Касперского“, чтобы получать уведомления о новых публикациях на сайте. Я могу отозвать свое согласие в любое время, нажав на кнопку “отписаться” в конце любого из писем, отправленных мне по вышеуказанным причинам.

Каким должен быть надёжный пароль? | Техника и Интернет

Большинству из нас известны простые советы, усложняющие пароль. Во-первых, он должен быть уникальным, во-вторых, достаточно длинным, и в-третьих, в нём необходимо использовать не только строчные и прописные буквы, но и различные символы и цифры.

Пользователи осознают наличие угрозы и стремятся обеспечить свою информационную безопасность.

Но их подводит память. Как на практике выполнить распространённую рекомендацию не записывать, а запоминать секретное слово? Неужели существуют люди, способные удержать в голове множество странных сочетаний разрозненных символов?

Несомненно, такие люди если и есть, то их очень мало. Рядовые юзеры придумали простой выход. Они запоминают пару кажущихся им сложными выражений, модифицируя сочетание от регистрации к регистрации, либо по настоянию админа сайта несколькими буквами, цифрами или знаками в начале или конце. Казалось бы, требования выполнены: пароль уникальный, длинный и сложный. Но надёжность такого метода низкая.

Как злоумышленники узнают пароли?

Время, когда где-то кто-то сутками напролёт стучал по клавиатуре, пытаясь подобрать пароль, давно прошло, если вообще когда-то было.

Периодически появляются сведения, что очередной интернет-гигант обнаружил утечку информации — базы данных паролей своих пользователей. Пароли воруют. Причём не по одному, а тысячами и миллионами, получив тем или иным способом доступ к базе данных популярного сайта.

Несмотря на то что представители атакованных компаний уверяют пользователей, что никто не понёс ущерба, так как база данных паролей хранится в зашифрованном виде, действительность несколько отличается от публичных заявлений. Задача злоумышленников зачастую легче, чем кажется
Фото: Depositphotos

Конечно, просто так взломать похищенную базу, даже обладая значительными вычислительными мощностями, способными перебирать миллиарды вариантов за несколько часов, очень и очень трудно.

Практически невозможно. Но, благодаря самим пострадавшим, задача злоумышленников зачастую легче, чем кажется.

Всегда найдутся пользователи, которым безразлична судьба аккаунта. Их пароли — типа 12345, qwerty и пр. — подбирают первыми. С помощью методов криптографии, сопоставляя значения в открытом и зашифрованном виде, злоумышленники получают представление об алгоритмах шифрования, что упрощает им задачу автоматизированного подбора остальных секретных слов.

За простыми паролями «сдаются» псевдосложные, состоящие из использованных ранее в других местах сочетаний, дополненных парой предсказуемых знаков.

Несомненно, уникальные и сложные пароли устоят, их никогда не расшифруют. Но многие внешне неприступные стены мощных фортеций падут, оказавшись на деле лишь разрисованными акварельными красками иллюзорными картинками.

Каким должен быть пароль?

В американском Университете Карнеги-Меллон создана группа исследования паролей. Её члены видят свою задачу в выяснении методов, применяемых злоумышленниками для расшифровки секретных слов, и разработке чётких критериев надёжности защиты. Фото: Depositphotos

После серии онлайн-тестов, в которых приняли участие более 50 тыс. человек, и изучения практических паролей студентов и профессоров университета группа пришла к выводу, что пользователи очень часто считают надёжными выражения, таковыми не являющиеся.

Среди ошибок — составление длинных сочетаний из распространённых слов или выражений (например, passwordpassword) и изменение старого пароля добавлением лишнего символа. Нередко для создания «надёжных» секретных слов последовательно нажимают несколько соседних клавиш клавиатуры — 1qaz2wsx3edc — или используют слэнг определённых сообществ. Ненадёжны и такие методы, как замена в слове буквы «о» цифрой «0» или «а» символом «@».

Разрабатывая пароль, исследователи из Карнеги-Меллон советуют опираться на следующие рекомендации:

  • выбирайте пароль длиной не менее 12 знаков;
  • используйте знаки 2−3 различных типов: прописные и строчные буквы, цифры, специальные символы;
  • размещайте символы разных типов вперемежку, не применяйте заглавные буквы исключительно в начале выражения, равно как цифры и символы только в конце;
  • избегайте имён людей и кличек домашних животных, названий мест, в которых вы живёте, брендов, спортивных команд, дат рождения и пр. ;
  • не используйте распространённые фразы, тексты песен, стихи и цитаты;
  • откажитесь от шаблонов, «подсказанных» расположением клавиш на клавиатуре;
  • не применяйте один и тот же пароль в разных местах;
  • хороший способ создания надёжного пароля — придумать оригинальное предложение и использовать одну или две начальных буквы каждого слова, разбавляя их другими символами;
  • если выражение трудно запомнить, запишите его или используйте диспетчер паролей, но не отказывайтесь из-за удобства от безопасности информации.

Теги: утечка информации, криптография, надежный пароль, безопасность информации, информационная безопасность, злоумышленники

Какой пароль использовать?

Длина пароля должна быть не менее 9 символов.

Два правила о паролях

  1. Пароли длиной от 9 до 15 символов имеют ряд ограничений:
    • Не должны содержать общие слова или заменители
    • Он не должен содержать ваше имя пользователя или настоящее имя
    • Он должен содержать символы более чем одной из следующих групп: нижний регистр, верхний регистр, цифры и знаки препинания. Например, это будут недопустимые пароли: 9#$#%
  2. Пароли длиннее 15 символов должны соответствовать следующим правилам:
    • Пароли не должны включать ваше имя пользователя или настоящее имя.
    • Должен содержать не менее двух типов символов (строчные, прописные, цифры, знаки препинания).
      Например:
      ОК: мой кот недоволен
      ОК: мой кот недоволен.
      Плохо: мой кот недоволен

Как создать хороший пароль

Вариант 1 : Самый простой способ — использовать парольную фразу длиной более 15 символов. Вы можете выбрать все, что захотите, поэтому будет относительно легко найти что-то, что вы сможете запомнить. Вот два примера:

  • У меня прекрасный кот
  • Мой двор всегда зеленый.

Обратите внимание, что вам нужно придумать свою фразу; приведенные выше примеры не должны использоваться.

Вариант 2 : Другой вариант — войти на страницу нашей учетной записи, перейти по ссылке «Установить/отключить пароль» в левой колонке и выбрать одно из предложений, предлагаемых системой. Выбирая предложение, не вырезайте и не вставляйте! Введите пароль дважды, чтобы убедиться, что вы можете ввести его надежно.

Запишите его и храните в кошельке (не на мониторе и не в приватном месте). В течение неделе вы запомните его, точно так же, как вы можете запомнить свой номер телефона и номер социального страхования, даже если они не «легко вспомнить». Не забудьте уничтожить любую бумажную запись, как только вы ее запомните.

Вариант 3 : Создайте свой собственный пароль в соответствии с перечисленными выше правилами для паролей длиной от 9 до 15 символов.

Неверные пароли

Систематический Атаки с подбором пароля изощренны и регулярно «взламывать» следующие типы паролей:

  • Те, которые содержат ваш сетевой идентификатор, имя пользователя, ваш первый, средний, или фамилию, или любое их распространенное изменение.
  • Произведенные непосредственно из слов или словосочетаний любого язык. Встраивание числа или регистра в слово (из любой язык) не является действительным паролем. Примеры неверных паролей включают: time2go, big$deal, ivyLeague, 2morrow, money$ и Ivyleague.
  • Те, которые все в верхнем регистре или все нижний регистр. Например, лига плюща, лига плюща и jklasdf недействительные пароли.
  • Состоящие из всех чисел; встраивание десятичные знаки минус или плюс в числе не сделать правильный пароль.

Наконец, пароли являются конфиденциальными. НЕ ДАВАЙТЕ СВОЙ ПАРОЛЬ К ЛЮБОМУ!

Ссылки по теме

  • Правила пароля PennKey

Как создавать надежные и сложные пароли для защиты вашей организации

Прежде всего несколько рекомендаций:

  • Включите устойчивую к фишингу многофакторную аутентификацию (MFA), когда это возможно
  • Если можете, используйте диспетчер паролей и защитите его с помощью MFA и/или длинного пароля/парольной фразы
  • Используйте генератор паролей для создания действительно случайных паролей, содержащих не менее 12 символов
  • Если вам необходимо создать пароль, используйте парольную фразу длиной не менее 20 символов
  • Никогда не обменивайтесь паролями между учетными записями
  • Держите свои пароли в тайне — никогда не сообщайте пароль никому другому
  • Не записывайте свои пароли

Как создать надежный сложный пароль

Если вам необходимо создать пароль, вот способ сделать надежный пароль, который очень трудно взломать. Используйте один из этих двух методов:

  1. Создайте пароли длиной не менее 12 символов, которые будут действительно случайными, в идеале с помощью генератора паролей. Пример: R#Yv&ZCAojrX
  2. Придумайте случайную фразу, состоящую не менее чем из 20 символов, которую легко запомнить. Пример: 2belivingtherockandrolllifeforever

Проверьте надежность вашего пароля

Существует ряд онлайн-инструментов, которые можно использовать для проверки надежности вашего пароля. Хотя ни один из них не гарантирует небьющийся пароль, они являются хорошей перепроверкой. Вот пример из Dashlane. Если ваш пароль недостаточно надежный, добавьте еще несколько символов в конце. Приведенный выше пример оценивается как средний, но если вы добавите несколько цифр в конце, он повысится до сильного.

Почему это важно — посмотрите, как легко взламывать слабые пароли

В видео ниже Кевин Митник показывает вам важность надежных паролей, его рекомендации и то, насколько легко киберпреступникам действительно взламывать пароли пароли:

 

Программные продукты для управления паролями

Сегодня на рынке есть хорошие программные продукты для управления паролями. Некоторые из них бесплатны; ни один не очень дорогой. Используя один из этих продуктов, вы можете создавать действительно случайные, очень длинные и уникальные пароли для каждого сайта, а поскольку программное обеспечение запомнит их для вас, вам никогда не придется беспокоиться о том, какой у вас пароль. Ваш менеджер паролей сохранит и зашифрует пароли для вас и автоматически войдет в систему. Вы значительно повысите безопасность, запомнив только один мастер-пароль. Воспользуйтесь нашим советом выше, чтобы создать очень надежный мастер-пароль!

Получите бесплатный

Набор ресурсов для защиты паролей

Угрозы паролем делают вас уязвимыми для фишинговых атак и атак методом социальной инженерии, поэтому мы создали этот бесплатный набор ресурсов, чтобы помочь вам защититься от уязвимостей. Запросите комплект прямо сейчас, чтобы получить бесплатные ресурсы, у экспертов KnowBe4 Кевина Митника , директора по хакерским атакам, и Роджера А. Граймса , евангелиста защиты, основанной на данных. Узнайте о реальных рисках, связанных со слабыми паролями, о том, почему управление паролями является ключом к построению сильной культуры безопасности, и о наших лучших советах о том, как защитить своих пользователей и вашу организацию.

Вот что вы получите:

  • Три  Демонстрационные видеоролики о взломе паролей  от Кевина Митника, главного хакерского директора KnowBe4
  • Доступ к нашему бесплатному вебинару по запросу  Хорошая, плохая и правда о менеджерах паролей  с участием Роджера А. Граймса, евангелиста KnowBe4 по защите, основанной на данных
  • Наш самый популярный технический документ по паролям:  Какой должна быть ваша политика в отношении паролей Электронная книга
  • Руководство по использованию паролей  чтобы поделиться с пользователями
  • Плакаты и цифровые вывески  , чтобы напомнить пользователям о важности надлежащей гигиены паролей
  •  

PS: Не любите нажимать на кнопки перенаправления? Вырежьте и вставьте эту ссылку в адресную строку браузера:

https://www.

Published in Разное

Ваш комментарий будет первым

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *