Нажмите "Enter", чтобы перейти к содержанию

Простой пароль: Простой и надежный пароль – коллективное творчество / Хабр

Содержание

Восстановить пароль от CRM «Простой бизнес»

X

Типовое согласие на обработку персональных данных

Пользователь, регистрируясь, оставляя заявку на обратный звонок или заполняя любую другую форму на интернет-сайте http://www.prostoy.ru и его поддоменах (продающих страницах, лендингах и т.д.), обязуется принять настоящее Согласие на обработку персональных данных (далее – Согласие). Принятием (акцептом) оферты Согласия является регистрация на интернет-сайте, заполнение формы заявки на обратный звонок или любой другой формы. Пользователь дает свое согласие ООО «1Т», которому принадлежит сайт http://www.prostoy.ru и которое расположено по адресу 115093 г. Москва, ул. Большая Серпуховская д. 44, пом. I, ком. 20, на обработку своих персональных данных со следующими условиями:

  1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
  2. Согласие дается на обработку следующих персональных данных: фамилия, имя, отчество; номера контактных телефонов; адреса электронной почты.
  3. Следующие персональные данные являются общедоступными: фамилия, имя, отчество; номера контактных телефонов; адреса электронной почты.
  4. Цель обработки персональных данных: соблюдение требований Конституции Российской Федерации, федеральных законов и иных нормативно-правовых актов, внутренних актов ООО «1Т».
  5. Основанием для обработки персональных данных являются: Ст. 24 Конституции Российской Федерации; ст.6 Федерального закона №152-ФЗ «О персональных данных»; Устав ООО «1Т».
  6. В ходе обработки с персональными данными будут совершены следующие действия: сбор и систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление.
  7. Передача персональных данных третьим лицам осуществляется на основании законодательства Российской Федерации, договора с участием субъекта персональных данных или с согласия субъекта персональных данных.
  8. Персональные данные обрабатываются до прекращения договорных отношений. Также обработка персональных данных может быть прекращена по запросу субъекта персональных данных. Хранение персональных данных, зафиксированных на бумажных носителях, осуществляется согласно Федеральному закону №125-ФЗ «Об архивном деле в Российской Федерации» и иным нормативно правовым актам в области архивного дела и архивного хранения.
  9. Согласие дается, в том числе, на возможную трансграничную передачу персональных данных и информационные (рекламные) оповещения.
  10. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления ООО «1Т» или его представителю по адресу, указанному в начале данного Согласия.
  11. В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных ООО «1Т» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 26. 06.2006 г.
  12. Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.8 данного Согласия.

Логин и пароль: UPS — Россия

Используйте простой и последовательный путь создания имен для входа в систему. Имена для входа в систему могут включать до 16 символов. Пароль должен состоять из 6-10 буквенно-цифровых знаков. Пользователи могут изменять свои пароли в любое время. Имена для входа пользователя в систему и пароли чувствительны к регистру букв.

При присвоении имен для входа, учтите частое использование следующих данных:

  • ID сети работника
  • ID номер работника
  • Имя и фамилия

Забыли пароль?

Когда пользователь не может войти в систему из-за забытого пароля, пользователь может заново установить пароль, используя ответ для проверки подлинности, хранящийся в профиле пользователя.

  1. Для открытия страницы повторной установки пароля, пользователь выбирает Забыли пароль? на странице Входа в систему.
  2. Пользовать вводит ID пользователя.
  3. Пользователь выбирает вопрос для проверки подлинности и вводит ответ.
  4. Пользователь восстанавливает старый пароль путем его ввода и подтверждает новый пароль, а затем выбирает Продолжить.

Как заменить пароль пользователя

Когда пользователь не может переустановить пароль, пароль может установить администратор.

  1. Выберите Управление пользователями в области слева, а затем выберите Поиск пользователей.
  2. Введите необходимое имя пользователя и выберите Поиск.
  3. Отметьте желаемого пользователя в результатах поиска и нажмите Просмотреть/Редактировать.
  4. Выберите Редактировать рядом с полем Подробная информация о пользователе.
  5. Выберите поле Заново установить пароль пользователя и выберите Обновить. Старый пароль пользователя будет сброшен и пользователь сможет войти в систему, используя ID имя пользователя в качестве временного пароля.

UPS CampusShip отправит пользователю временный пароль по электронной почте. При входе в систему, пользователю будет предоставлено руководство по смене временного пароля.

Как заменить пароль администратора компании

Примечание: только другой администратор компании может сбросить пароль администратора компании. UPS CampusShip рекомендует назначить минимум двух Администраторов компании, чтобы гарантировать непрерывную работу во время отсутствия одного из них. Если все администраторы компании не в состоянии войти в систему, незамедлительно свяжитесь с своим представителем UPS CampusShip, чтобы связаться с Отделом технической помощи UPS CampusShip.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Законом предусмотрены два типа электронных подписей:  простая и усиленная. Последняя имеет две формы: квалифицированная и неквалифицированная.

Простая электронная подпись представляет собой комбинацию из логина и пароля и подтверждает, что электронное сообщение отправлено конкретным лицом.

Усиленная неквалифицированная подпись не только идентифицирует отправителя, но и подтверждает, что с момента подписания документ не менялся. Сообщение с простой или неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.

Усиленная квалифицированная электронная подпись подтверждается сертификатом от аккредитованного удостоверяющего центра и во всех случаях приравнивается к бумажному документу с «живой» подписью.

Для того чтобы электронный документ считался подписанным простой электронной подписью необходимо выполнение в том числе одного из следующих условий:

  1. простая электронная подпись содержится в самом электронном документе;
  2. ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

При этом закон не уточняет, кто именно может быть владельцем ключа простой электронной подписи, но устанавливает ограничения по ее использованию. Простая электронная подпись однозначно не может быть использована при подписании электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну.

Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:

  1. правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
  2. обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.

В свою очередь усиленная неквалифицированная и усиленная квалифицированная электронные подписи получаются в результате криптографического преобразования информации с использованием ключа электронной подписи,

позволяют определить лицо, подписавшее электронный документ,

позволяют обнаружить факт внесения изменений в электронный документ после момента его подписания,

создаются с использованием средств электронной подписи.

Квалифицированная электронная подпись наравне с вышеуказанными признаками должна соответствовать следующим дополнительным признакам:

  1. ключ проверки электронной подписи указан в квалифицированном сертификате;
  2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Законом об электронной подписи.

При этом основное отличие квалифицированного сертификата ключа проверки электронной подписи заключается в том, что он должен быть выдан аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра.

Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

Другие вопросы по теме

Выбор безопасного пароля для защиты вашей личности

Выбор более безопасного пароля поможет обеспечить защиту вашей личности в интернете. Эта статья и сопутствующее видео покажут Вам, как создавать безопасные, легко запоминающиеся пароли.

Вы можете создать безопасный пароль, начав с простой фразы. Для примера используем цитату из Огдена Нэша: «Happiness is having a scratch for every itch.»

Если мы используем первые буквы каждого слова и вместо слова «for» напишем 4, мы получим:

Hihas4ei

У нас получился довольно устойчивый пароль, но мы можем немного улучшить его, добавив немного спецсимволов:

#Hihas4ei:

Мы можем использовать наш новый пароль на нескольких разных сайтах, добавив к нему префикс или суффикс с мнемонической ссылкой на соответствующий сайт. Давайте используем первую букву и две последующих согласных из имени сайта.

Чтобы сделать пароль более «случайным», используем верхний и нижний регистры попеременно и если первая буква в имени сайта гласная, мы начнем с верхнего регистра. Чтобы запутать все еще немного, мы используем то же правило для выбора того, будет ли добавлена мнемоника сайта в начало или конец строки. Например:

#Hihas4ei:AmZ для Amazon
fCb#Hihas4ei: для Facebook
#Hihas4ei:YtB для YouTube
dRm#Hihas4ei: для Drumbeat

Это лишь одно из множества возможных правил для выбора префикса или суффикса, которые позволят вам разнообразить ваши пароли для разных сайтов. Обратный порядок букв в суффиксе, только гласные или только согласные, добавление каких-то букв или символов, которые приходят Вам на ум, когда Вы думаете об этом сайте — вот неполный список возможных подходов для увеличения безопасности Вашего пароля.

Несмотря на то, что описанный способ позволяет использовать на разных веб-сайтах одну и ту же общую часть, созданную при помощи исходной фразы, использовать её на сайтах, содержащих ценную информацию, вроде банковского счета или платежных систем было бы плохой идеей. Такие сайты достойны отдельной фразы, на основе которой должен быть создан пароль.

Задумайтесь на минутку о фразе, которая была бы для Вас значимой. Используйте эту фразу, чтобы создать безопасный пароль, который Вы могли бы модифицировать для каждого сайта, который вы посещаете.

Мозилла публикует данное руководство как материал общего пользования. Ни один подход к безопасности не гарантирует 100% защиту, и ни один из материалов данной статьи не является гарантией безопасности ваших паролей.

Некоторые веб-сайты могут не разрешать использование некоторых или всех специальных символов. Пожалуйста, убедитесь, какие специальные символы разрешено использовать.

Некоторые сайты имеют ограничение на длину поля пароля. Если ввести слишком длинный пароль, вы можете увидеть сообщение, например: «Пожалуйста, сократите этот текст до 20 символов или менее», и вам потребуется использовать более короткий пароль.

Простой пароль — «открытая дверь» в системе безопасности

Большинство утечек информации произошли не из-за хакеров, целенаправленно атакующих компании по всему миру. И, хотя действия «корпоративных шпионов» существенно вредят бизнесу, даже они не добрались до первого места в ТОПе информационных угроз. Любопытный читатель, интересующийся информационной безопасностью, тут же предположит, что на пальме первенства фишинг – один из основных инструментов взлома. И окажется неправ.

Любое агрессивное воздействие извне или изнутри, представляет опасность, но требует определенной подготовки – человеческих и финансовых ресурсов. А, как говорится, «зачем платить больше?» если, рано или поздно, практически любая компания добровольно распахнет двери перед злоумышленниками. Ведь главная причина утечек данных – тот самый «человеческий фактор» в совокупности с глупостью, безалаберностью и безответственностью. Инсайдерами не рождаются, ими зачастую становятся непреднамеренно. Ведь «крот» — это не всегда человек, решивший поживиться технологиями или наработками компании-работодателя. Инсайдером может стать любой сотрудник, просто отправив конфиденциальные данные «не в то окно».

Угрозы безопасности начинают появляться с момента «встречи» персонала и «рабочего инструмента» 21 века — компьютера. Утром, сделав дежурную чашечку кофе, среднестатистический сотрудник вводит коды доступа для входа в систему, корпоративную почту и так далее. И уже на этом этапе риски начитают неуклонно расти. Первопричина опасности – «человеческий фактор», а именно использование простых паролей, которые несложно подобрать.

С 2013 года пальму первенства, по данным различных исследований, занимает «123456». Казалось бы, громкие утечки информации должны были вразумить незадачливых пользователей, но нет, чуда не произошло. В 2019 «хит-парад» расположился на пьедестале следующим образом:

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567

Как утверждают специалисты: все, что легко запоминается – легко взламывается. По данным исследований, в крупных корпорациях (более 1000 сотрудников), с выстроенными алгоритмами информационной безопасности, можно обнаружить минимум 25 небезопасных паролей из ТОПа.

В малом и среднем бизнесе ситуация еще хуже. В компании, численностью 25 человек или меньше, за год используется 85 простых кодов доступа: эти пароли мигрируют от одного работника к другому, поэтому нет ничего удивительного в том, что в один прекрасный день менеджер Ваня сможет случайно получить доступ к компьютеру и базам данных кого-либо из своих коллег.

Если раньше пароли были первой линией обороны бизнеса, то сейчас, по мнению экспертов, они не просто утомили персонал бесконечной чехардой с их заучиванием, но и стали дополнительным фактором риска. Это подтверждает и статистика: сотрудники, устав от бесконечных комбинаций букв и цифр, используют коды доступа повторно. В среднестатистической компании один сотрудник может повторять секретную комбинацию до 13 раз. Отчет Verizon за 2019 год утверждает, что 80% утечек данных могут быть связаны со слабыми паролями.

Учитывая статистику, специалисты по информационной безопасности пришли к выводу: наиболее безопасный и простой путь авторизации – мультифакторная аутентификация с использованием биометрических параметров. Надежность такой системы обусловлена тем, что сканер отпечатка пальца или систему распознавания лиц обмануть очень сложно.

Главное же преимущество — подобные решения оптимизируют внутренние процессы и позитивно отражаются на эффективности выполнения задач персоналом. Ведь больше не нужно запоминать сложные пароли или записывать их на бумажку, а потом долго и нудно вводить на клавиатуре, всматриваясь в непонятные звездочки. Достаточно просто подойти к компьютеру и авторизоваться в системе.

Такое прогрессивное решение было интегрировано в программный комплекс «Стахановец». Наши разработчики постоянно совершенствуют отчет «Распознавание лиц», стараясь не только повысить надежность периметра безопасности бизнеса, но и избавиться от рудиментов прошедшей эпохи, негативно сказывающихся на эффективности внутренних процессов.

Главный плюс новой опции – для развертывания системы распознавания лиц не нужно покупать дополнительное дорогостоящее оборудование. Функциональность будет доступна на любом «офисном» компьютере или ноутбуке, оснащенном веб-камерой.

Теперь, без дополнительных инвестиций в техническую часть, бизнес сможет реализовать наиболее прогрессивную технологию контроля и управления доступом на предприятии.

Защита вашего аккаунта — Яндекс ID. Справка

Если при регистрации аккаунта вы отказались подтвердить номер телефона, ваш аккаунт защищен только контрольным вопросом. В сущности, ответ на контрольный вопрос — это еще один пароль, который можно узнать или угадать так же, как и обычный пароль. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вам приходится использовать контрольный вопрос, постарайтесь защитить его.

Устройство на базе Android или iOS позволяет вам установить приложение Яндекс.Ключ — с ним вам не придется запоминать и защищать пароль. Для каждого входа в Яндекс приложение генерирует одноразовый пароль, который перестанет работать сразу после того, как вы его введете.

Двухфакторная аутентификация – это самый надежный способ защиты Яндекс ID. Для взлома такой защиты необходимо, кроме прочего, украсть ваше устройство и разблокировать его.

Подробнее об этом способе защиты читайте в разделе Двухфакторная аутентификация.

Защищенный номер телефона позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправит вам в SMS. Не забывайте изменить защищенный номер, если вы больше не можете читать сообщения, которые на него приходят.

Даже если злоумышленник сможет войти в ваш аккаунт, у вас будет как минимум 30 дней на то, чтобы вернуть себе контроль над аккаунтом и сменить пароль.

Подробнее об этом способе защиты читайте в разделе Привязка телефонных номеров.

Дополнительный адрес позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправляет на этот адрес в письме. Злоумышленник, который смог войти в ваш аккаунт, может сравнительно легко отвязать дополнительный адрес от Яндекс ID, чтобы помешать вам вернуть контроль над аккаунтом. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вы используете дополнительный адрес, злоумышленник, взломав его, сможет получить доступ к вашему Яндекс ID. Дополнительный адрес нужно хорошо защитить: придумать сильный пароль, по возможности включить двухфакторную аутентификацию или привязать номер телефона.

Подробнее об этом способе защиты читайте в разделе Дополнительные адреса почты.

Если вы не используете другой способ восстановления доступа, ваш аккаунт будет защищен от взлома только контрольным вопросом. Поэтому ответ на контрольный вопрос подобрать или угадать должно быть так же сложно, как и пароль.

На контрольный вопрос лучше указывать ответ, известный только вам. Девичья фамилия матери, любимое блюдо, кличка домашнего животного, номер телефона или квартиры — все эти сведения могут быть известны вашим знакомым или даже общедоступны (например, если вы указали их в социальной сети). Попробуйте указать собственный контрольный вопрос, ответ на который вам будет легче запомнить, а злоумышленнику — сложнее угадать.

: Технологии и медиа :: РБК

Эксперты назвали основные способы взлома российских банков

При взломе подбором пароля «речь идет не просто о доступе к одному из компьютеров организации, а о получении привилегий администратора домена», отмечает Евгений Волошин, директор блока экспертных сервисов Bi.Zone: «С ними злоумышленники ограничены только своей фантазией. Они могут получить доступ к любой системе, без ограничений копировать данные, а также зашифровать одновременно все компьютеры в организации. Это такой «режим бога», прекратить который может только другой администратор домена, если он, конечно, заметит взлом».

Читайте на РБК Pro

Как пояснил замруководителя департамента аудита и консалтинга Group-IB Павел Супрунюк, главная причина, почему при атаке получается легко подобрать пароль, состоит в том, что некоторые используют один и тот же пароль на всех программах и приложениях. «Злоумышленники используют данные базы в том числе для атак на организации — скажем так, переносят личные парольные предпочтения пользователей на его рабочий аккаунт. Ряд наших тестов на проникновение показал, что такая атака, к сожалению, хорошо работает для ряда компаний, которые не уделяли данной проблеме должного внимания», — рассказал Супрунюк.

По словам руководителя группы отдела аналитики информационной безопасности Positive Technologies Екатерины Килюшевой, атаки с помощью подбора одного пароля ко множеству учетных записей могут быть эффективными, поскольку их сложнее обнаружить в отличие от попыток взлома одного пользователя, которые легко заметят средства защиты. «Для защиты от подобных атак следует устанавливать надежные пароли, ограничивать число попыток ввода пароля и использовать многофакторную аутентификацию», — советует эксперт.

В начале прошлого года в исследовании об уязвимости банковской системы Positive Technologies указывала, что хакерам нужно в среднем пять дней, чтобы проникнуть в сеть российского банка. Имитируя атаку, эксперты компании пришли к выводу, что хакеры могут проникнуть в локальную сеть семи из восьми банков за счет уязвимостей веб-приложений и ПО, а также подбора паролей. Последние оказались довольно предсказуемыми: различные комбинации месяца или времени года с цифрами, например Fduecn2019 (латинский набор слова «август») или Зима2019, пароли типа 123456, сочетания соседних клавиш (1qaz! QAZ, Qwerty1213), пароли типа admin123 и подобные. Причем в одном из банков было подобрано более 500 учетных записей с паролем qwerty123 для доменных учетных записей.

«Чтобы хакеры не смогли подобрать учетные данные пользователя, нужно придумать сложный пароль, который не содержит очевидных комбинаций. Самый простой способ для этого — использовать генератор паролей, который выдает случайный набор букв, цифр и символов. Также в качестве пароля можно использовать парольную фразу — это последовательность слов, которую проще запомнить», — рассказал руководитель группы пресейла центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелекома» Артем Кильдюшев.

Что еще угрожает пользователям

Ранее свои данные об основных угрозах для информационной безопасности в корпоративный сетях опубликовала Positive Technologies. По итогам анализа угроз в сетях различных компаний этот участник рынка кибербезопасности указал в качестве наиболее потенциально опасных нарушение регламентов информационной безопасности. Например, во многих компаниях выявляли использование программного обеспечения для удаленного доступа (TeamViewer, Ammyy Admin), что является нарушением регламента, поскольку подобные программы нередко содержат критические уязвимости и с их помощью злоумышленники могут незаметно подключаться к сетям компании. На втором месте по распространенности была подозрительная сетевая активность (сокрытие трафика, запуск инструментов сканирования сети, попытки удаленного запуска процессов). Попытки подбора паролей Positive Technologies зафиксировала в 26% проанализированных компаний.

Главный эксперт «Лаборатории Касперского» Сергей Голован говорит, что популярность подбора паролей в 2020-м вполне вероятна, но за 2019-й наиболее частое первичное заражение происходило вследствие использования уязвимостей систем и фишинговых рассылок. «Перебор паролей был только точкой входа, опасность инцидента зависела от того, как дальше будет развиваться атака», — объяснил он. По словам Артема Кильдюшева, на внедрение вредоносного софта через фишинговые рассылки пришлось 74% от общего числа атак в 2020 году. Еще четверть киберинцидентов были атаками на веб-приложения.

Как создавать надежные пароли, которые вы можете запомнить

Давайте будем честными, пароли — это боль. Все мы знаем, что хорошие пароли защищают нас от хакеров, но создать и запомнить надежные пароли для всех наших онлайн-аккаунтов — настоящая проблема.

Чтобы справиться с «усталостью паролей», мы создаем несколько простых паролей, используем их для нескольких учетных записей и надеемся, что ничего плохого не произойдет.

«Мы все хотим, чтобы было просто и легко, но это плохо с паролями», — сказал Морган Слейн, генеральный директор SplashData, компании по обеспечению безопасности в Интернете, специализирующейся на защите паролей.«Снова и снова использовать простой пароль опасно, потому что он создает каскадный риск для всех ваших учетных записей в Интернете».

SplashData ежегодно оценивает миллионы утечек паролей для создания своего ежегодного списка наихудших паролей. Последний отчет показывает, что те же самые предсказуемые и легко угадываемые пароли, которые легко взломать, возглавляют список 100 наихудших паролей 2018 года:

  • 123456
  • Пароль
  • 123456789
  • 12345678
  • 12345

Другие паршивые пароли включают: 1111, admin, 123123, iloveyou, welcome и 123abc. По оценкам SplashData, почти 10 процентов пользователей компьютеров в Северной Америке и Западной Европе использовали по крайней мере один из 25 худших паролей в списке этого года.

Связанные

Повторное использование пароля — абсолютное запрещение

Хотя киберпреступники хорошо умеют делать то, что они делают, плохая гигиена паролей — наличие нескольких простых паролей, открывающих все ваши онлайн-аккаунты — делает их работу еще проще.

Используя один и тот же пароль или простые варианты (например, admin1, admin 2, admin 3) для множества учетных записей, вы становитесь уязвимыми для так называемого «набивки учетных данных» — кибератаки, которая использует украденные учетные данные с одного сайта для получения несанкционированного доступа к другие сайты.

«Это не ракетостроение», — сказал Бретт Джонсон, печально известный кибер-вор (Список самых разыскиваемых лиц в США, 2006 г.), который изменил свою жизнь после выхода из тюрьмы и теперь является консультантом по цифровой безопасности.

«Если вы используете тот же пароль, что и большинство людей, я могу получить этот пароль с помощью фишинг-атаки или утечки данных. Это дает мне информацию для входа в ваш банковский счет, счет вашей кредитной карты и все другие ваши счета с тем же паролем », — сказал Джонсон NBC News ЛУЧШЕ.

Повторно используйте один и тот же пароль для нескольких учетных записей, и ваша уязвимость будет расти с каждым новым взломом. Например, если ваш пароль Starwood был взломан в результате мега-взлома, объявленного Marriott International в ноябре, и вы использовали тот же пароль для других учетных записей, все они теперь уязвимы — даже если вы измените свой пароль Starwood.

Преступники будут использовать автоматизированные программы для проверки украденных паролей на других учетных записях, используемых жертвами взлома.

Лучший способ создать надежный пароль

Надежный пароль бывает длинным (не менее 12 символов), сложным (прописные и строчные буквы, символы и цифры) и случайным. Он не должен содержать никакой личной информации, такой как ваше имя, день рождения, имя домашнего животного, номер социального страхования или что-либо еще, что можно найти в социальных сетях.

Последний совет, согласно ConnectSafely.org, — использовать «парольную фразу» длиной 20 символов, содержащую случайные слова, числа и символы. Например: YellowChocolate # 56CadillacFi $ h.

Все эксперты по цифровой безопасности, с которыми связались NBC News BETTER, согласны: лучший способ управлять своими паролями — использовать менеджер паролей, который генерирует, надежно хранит и обеспечивает легкий доступ ко всем вашим паролям.Создайте длинный, случайный и уникальный пароль для каждой из ваших учетных записей в Интернете.

Менеджер паролей шифрует эту информацию и сохраняет ее в цифровом хранилище, которое мгновенно становится доступным на всех ваших цифровых платформах. Только у вас есть ключ, чтобы разблокировать его. Таким образом, вам нужно запомнить только один пароль, поэтому убедитесь, что он сверхнадежный.

Лучшие менеджеры паролей стоят от 15 до 60 долларов в год. Но доступно множество надежных бесплатных версий, включая SplashID, LastPass, Dashlane, RoboForm, KeePass Password Safe и Sticky Password.

Если этого не требует веб-сайт, вам не нужно постоянно менять пароли. Эксперты обнаружили, что постоянное обновление паролей побуждает людей использовать простые или перерабатывать старые.

«В случае взлома или, возможно, вы почувствуете, что ваша учетная запись была взломана, именно тогда мы должны изменить наши пароли», — сказала Пейдж Хэнсон, руководитель отдела обучения личности в Norton Lifelock.

Двухфакторная аутентификация: следующая линия защиты

Надежные пароли — это первый шаг к защите вашей цифровой жизни.Но даже самые лучшие пароли могут быть скомпрометированы. Вас может обмануть фишинговая рассылка электронной почты и вы случайно выдадите свои пароли, или они могут быть украдены в результате взлома. Вот почему эксперты по безопасности рекомендуют двухфакторную аутентификацию (2FA).

«Независимо от того, насколько надежен пароль, если вы используете его где угодно, есть вероятность, что через некоторое время он будет у злоумышленников», — сказал Ник Билогорский, стратег по кибербезопасности Juniper Networks. «Так что не полагайтесь только на пароли. Ваш пароль — это первый фактор, первый шаг для входа в систему, но вам необходимо выполнить несколько шагов.Добавляя дополнительный фактор для входа в систему, вы повышаете свою онлайн-безопасность более чем в 10 раз ».

Для большинства из нас вне рабочего места двухфакторная аутентификация означает получение текстового сообщения, звонка или электронного письма, требующего от нас каких-либо действий для подтверждения нашей личности. Предполагается, что мошенник не ответит на ваш домашний телефон, не возьмет на себя мобильное устройство или не будет на вашем компьютере. (Это не является надежным, преступник мог взломать одно из ваших устройств или учетных записей, но для большинства из нас двухфакторная аутентификация по телефону, тексту или электронной почте является большим шагом вперед в обеспечении безопасности. ) Программные и аппаратные токены, доступные на некоторых сайтах, добавляют еще один уровень безопасности.

Некоторым веб-сайтам требуется двухфакторная аутентификация, некоторые делают ее доступной, а другие не предлагают. Что еще более сложно, каждый сайт называет это по-своему. Это «двухфакторная аутентификация» в Facebook, «подтверждение входа» в Twitter и «двухэтапная аутентификация» в Google. Некоммерческий веб-сайт twofactorauth.org позволяет легко узнать, использует ли веб-сайт 2FA.

«Вы должны помнить, кто преследует вас в наши дни», — предупредил Билогорский из Juniper Networks.«На вас нападают плохие парни, корпорации и государственные деятели, которые используют вредоносные программы для постоянного сканирования Интернета в поисках жертв. Вам нужна хорошая гигиена безопасности, чтобы снизить вашу уязвимость ».

Связанные

Хотите еще таких советов? NBC News BETTER одержимы поиском более простых, здоровых и разумных способов жизни. Подпишитесь на нашу рассылку новостей и подписывайтесь на нас в Facebook, Twitter и Instagram.

Выявление привычек паролей: улучшаются ли привычки пользователей к защите паролей? (Инфографика)

Мы опросили 1000 человек об их привычках к защите паролей.Вот что мы нашли.

Пароли являются неотъемлемым компонентом гигиены безопасности, но помимо требований к надежности пароля, это в значительной степени инициатива, управляемая пользователями. Мы опросили 1000 интернет-пользователей, чтобы получить некоторое представление о текущих привычках использования паролей, о том, как часто пользователи применяют передовые методы гигиены паролей, какие методы используют пользователи, чтобы запомнить множество паролей, которыми они управляют, и другие детали, которые проливают свет на текущее состояние гигиена пароля.

Ознакомьтесь с приведенной ниже инфографикой, чтобы получить краткое изложение наших результатов и продолжить анализ.

О нашем опросе

Мы опросили случайно выбранную группу из 1000 пользователей Google в США в возрасте от 18 лет и старше. Наш опрос включал семь вопросов:

  1. Сколько у вас учетных записей, для которых требуется пароль?
  2. Как часто вы меняете пароли?
  3. Вы когда-нибудь повторно использовали пароли для разных учетных записей?
  4. Насколько сложны ваши пароли?
  5. Что для вас наиболее важно при создании нового пароля?
  6. Используете ли вы двухфакторную аутентификацию в дополнение к паролям, если они доступны?
  7. Как вы запоминаете свои пароли?

Хотя некоторые из наших результатов подтверждают, что привычки многих пользователей к паролям все еще нуждаются в улучшении, мы также обнаружили, что многие пользователи применяют передовые методы защиты паролей.Вот посмотрите, что мы обнаружили, и сравните его с результатами предыдущего анализа безопасности паролей.

Перегрузка паролей реальна

Предыдущие данные таких компаний, как Dashlane, показали, что людям обычно приходится запоминать слишком много паролей. Фактически, анализ данных более чем 20 000 пользователей в 2015 году, проведенный Dashlane, показал, что в среднем у пользователя есть 90 онлайн-аккаунтов. Углубившись в выборку данных, Дэшлейн обнаружил, что в США в среднем 130 учетных записей привязаны к одному адресу электронной почты.

Результаты нашего опроса показывают, что перегрузка паролей по-прежнему является серьезной проблемой для многих пользователей, хотя есть интересный разрыв между количеством людей, у которых слишком много паролей для запоминания, и теми, кто управляет менее чем 10 учетными записями, требующими паролей. Среди 999 ответов на этот вопрос:

  • 29% респондентов даже не знают, сколько у них учетных записей, требующих пароля; их просто слишком много, чтобы сосчитать.
  • 29,7% респондентов указали, что у них менее 10 учетных записей, требующих пароля.
  • 13,6% говорят, что у них более 25 учетных записей, для которых требуется пароль.
  • 27,6% сообщают о наличии от 11 до 25 учетных записей, требующих пароля.

Большинство пользователей часто обновляют свои пароли

Существует много информации о рекомендуемой частоте смены паролей, а также споры о том, насколько часто это происходит, когда речь идет об обязательной смене пароля. Недавняя информация свидетельствует о том, что слишком частая обязательная смена паролей может отрицательно сказаться на безопасности.По словам Лорри Кранор, главного технолога Федеральной торговой комиссии, люди, которым приходится менять пароли слишком часто, с большей вероятностью выберут для начала менее безопасные пароли. Когда приходит время внести обязательное изменение, эти же пользователи, как правило, вносят незначительные изменения, которые легко предсказуемы злоумышленниками, вместо того, чтобы создавать совершенно новые надежные пароли. Но как часто это происходит слишком часто и как часто средний пользователь меняет свои пароли?

Результаты нашего опроса показывают, что почти треть (31.3%) респондентов меняют пароли 1-2 раза в год. Чуть более одной пятой (22,4%) меняют пароли более пяти раз в год, а 17% меняют пароли каждые несколько месяцев или примерно три-четыре раза в год. Пока последние группы (почти 40% пользователей, которые сообщили об изменении паролей 3 или более раз в год) привыкли к частоте своих изменений и практикуют надежные привычки безопасности паролей, такие как создание сложных паролей, избежание повторного использования паролей и Используя методы безопасного управления паролями, мы должны воспринимать это как положительный знак.

В целом 29,4% респондентов меняют пароли редко или никогда:

  • 10,9% респондентов утверждают, что никогда не меняют свои пароли.
  • 18,5% меняют пароли только в том случае, если им сообщили о проблеме с безопасностью.

Примерно половина респондентов повторно используют пароли, но не всегда

Большинство экспертов по безопасности рекомендуют сохранять уникальные пароли для всех своих учетных записей, никогда не использовать повторно пароли для разных профилей или учетных записей. Почему? Просто: если злоумышленник обнаруживает ваш пароль к одной учетной записи, и это тот же пароль, который вы используете для каждой учетной записи, вы просто предоставили им доступ ко всей своей цифровой жизни.Некоторые эксперты говорят, что повторное использование паролей сегодня является самой большой проблемой безопасности.

Большинство людей понимают, что использовать один и тот же пароль для нескольких учетных записей — плохая идея, но некоторые все равно продолжают это делать. В нашем опросе среди 941 ответа на этот вопрос:

  • 49,3% заявили, что они иногда повторно используют пароли, но только для неважных или некритичных учетных записей.
  • 39,9% говорят, что никогда не используют пароли повторно (многообещающе!).
  • 10,8% имеют только один пароль по умолчанию, который они используют для большинства или всех учетных записей (плохие новости).

Пользователи разбираются в сложности паролей

Достаточно широко известно, что простые, легко угадываемые пароли небезопасны. Имя вашей собаки, имя вашего супруга, дата вашего рождения и другие слова и фразы, связанные с вашей жизнью, которые легко найти в ваших профилях в социальных сетях, — это просто — их легко обнаружить злоумышленникам. Все большее количество учетных записей требует определенных элементов для обеспечения того, чтобы пароли достигли минимального порога безопасности, добавляя обязательную сложность.Например, вы, вероятно, сталкивались с паролями, которые требуют:

  • Комбинация прописных и строчных букв
  • Числа
  • Специальные символы или символы
  • Минимальное количество символов

Требуя от пользователей выбора паролей, включающих все (или, в некоторых случаях, сочетание этих четырех) элементов приводит к тому, что пароли труднее взломать, что повышает безопасность учетной записи для пользователей.

В сообществе ИТ-безопасности ведутся споры о том, является ли сложность или длина пароля более важными для безопасности.Длинные пароли имеют экспоненциально больше возможных случайных комбинаций символов, поэтому взломать их у инструментов взлома требуется больше времени. Логично, что сочетание сложности и длины является лучшим способом создания надежных паролей.

Согласно результатам нашего опроса, пользователи осознают ценность сложности пароля. Среди 884 ответов на этот вопрос:

  • 55,8% используют очень сложные пароли / парольные фразы, такие как «Ilovef00tball!».
  • 37,8% используют несколько сложные пароли, такие как «Футбол1».
  • Только 6,5% полагаются на несложные пароли, такие как общие слова или фразы, такие как «футбол», «qwerty» или имена проверенных и неудачных домашних животных, детей или имен супругов.

Важнейшие соображения по поводу паролей

По мере того, как пользователи все больше разбираются в передовых методах защиты паролей, какие приоритеты они отдают при создании надежных паролей? Неудивительно, что при таком большом количестве учетных записей и паролей, которые нужно запомнить, создание простых для запоминания паролей остается приоритетом для многих пользователей и конкурирует с необходимостью создания надежных и сложных паролей для повышения безопасности.

Согласно результатам нашего опроса, 65,3% из 869 респондентов, ответивших на этот вопрос, сказали, что их наиболее важным фактором является безопасность, уделяя особое внимание созданию уникальных и сложных паролей. С другой стороны, более трети (34,7%) придают большее значение паролям, которые легко запомнить.

Однако эти два понятия не исключают друг друга. Techvera предоставляет несколько советов по созданию паролей, которые являются одновременно безопасными и легко запоминающимися, например, с использованием парольных фраз вместо паролей, с использованием строк случайных слов в бессмысленном порядке или с помощью генераторов случайных паролей в сочетании с менеджерами паролей (чтобы облегчить необходимость запомнить десятки уникальных сложных паролей).Кроме того, UberGizmo предлагает несколько надежных советов по созданию надежных, но легко запоминающихся паролей, объясняя, что, хотя парольные фразы являются мощными инструментами памяти, вы должны использовать уникальный подход для создания ключевой фразы, которую легко запомнить, но невероятно трудной для всех остальных. чем вам угадать.

Использование двухфакторной аутентификации

Эксперты по безопасности всегда рекомендуют по возможности использовать двухфакторную аутентификацию, обеспечивая дополнительный уровень безопасности и препятствуя потенциальным злоумышленникам, пытающимся взломать ваш пароль.Опять же, это лучшая практика, о которой сегодня знают все больше пользователей, но она не всегда принимается большинством. Некоторые люди считают, что двухфакторная аутентификация занимает много времени и утомительно, добавляя еще один уровень проверки для собственного использования своих учетных записей.

В нашем опросе на этот вопрос ответили 840 участников. Результаты неоднозначны; более чем в два раза больше людей говорят, что используют двухфакторную аутентификацию там, где она доступна (47,8%), по сравнению с теми, кто этого не делает (19.4%). При этом неожиданно 32,8% респондентов заявили, что не знают, что такое двухфакторная аутентификация.

По сути, двухфакторная аутентификация включает два различных шага (или факторов) для проверки личности пользователя; обычно это комбинация следующих элементов:

  • Что-то, что вы знаете (например, ваш пароль или ваше имя пользователя)
  • Что-то, что у вас есть (например, ваша карта банкомата, мобильный телефон или жетон / значок доступа)
  • То, что вы ( обычно проверяется с помощью биометрических данных, таких как сканирование радужной оболочки глаза, отпечатки пальцев или распознавание лиц)

Подумайте о примере банкомата, и вы поймете, насколько распространена на самом деле двухфакторная аутентификация.Двухфакторная аутентификация по своей сути более безопасна; В то время как злоумышленник может легко взломать ваш пароль, репликация вашего отпечатка пальца или получение вашей физической собственности может оказаться гораздо более сложной задачей. Хотя биометрия используется реже, чем другие методы аутентификации из-за технологических ограничений, использование биометрии также начинает расти. Опрос TeleSign в 2016 году показал, что более половины опрошенных компаний (54%) планировали внедрить биометрию в качестве меры безопасности.

Восстановление пароля: как пользователи запоминают свои пароли

Когда в среднем человек поддерживает 90 или более учетных записей, требующих паролей, многие из которых требуют более сложных и длинных паролей для повышения безопасности, люди вынуждены искать способ запомнить все эти пароли .

В нашем опросе на этот вопрос ответили 800 респондентов. Мы обнаружили, что люди используют несколько разных тактик, чтобы вспомнить свои пароли, в том числе:

  • 38.6% записывают свои пароли на листках бумаги.
  • 27,7% используют надежный менеджер паролей.
  • 17,7% повторно используют один и тот же пароль для нескольких учетных записей.
  • 9,5% хранят все свои пароли в файле на своем компьютере.
  • 6,6% хранят свои пароли в файле в Dropbox или аналогичном хранилище.

«Лаборатория Касперского» изучила этот же вопрос в опросе 2016 года, в котором приняли участие более 12 500 человек из 21 страны, но результаты несколько различаются:

  • 53% респондентов сообщили, что помнят свои пароли.
  • 22% респондентов сообщили, что записывают свои пароли в блокнот.
  • 11% пишут пароли на листах бумаги или стикерах, которые хранятся рядом с компьютером.
  • 11% хранят свои пароли в браузере.
  • 10% документируют пароли в файле, хранящемся на их компьютере.
  • 9% хранят пароли в своих смартфонах.
  • 7% хранят свои пароли в специализированном программном приложении.
  • 6% отправляют себе электронное письмо со своими паролями.
  • 4% хранят свои пароли в онлайн-сервисе.
  • 4% используют другой метод, не описанный выше.
  • 7% ответили «не знаю».

PasswordResearch.com также содержит некоторые данные о том, как люди запоминают свои пароли, при этом результаты аналогичным образом распределены по тактикам. Понятно, что люди используют множество тактик, чтобы запомнить свои пароли для множества цифровых сервисов, к которым они получают доступ.

Итак, как лучше всего отслеживать все эти пароли? По словам Брейна Кребса из Krebs on Security: «Самый безопасный метод запоминания ваших паролей — это создать список всех веб-сайтов, для которых у вас есть пароль, и рядом с каждым из них написать свое имя для входа и подсказку, имеющую значение только для ты.Если вы забудете свой пароль, большинство веб-сайтов отправят его вам по электронной почте (при условии, что вы помните, с какого адреса электронной почты вы регистрировались) ».

Кребс признает, что его взгляд на ведение письменного списка паролей со временем эволюционировал, и с постоянно меняющейся системой безопасности можно с уверенностью предположить, что это так для многих экспертов, поскольку злоумышленники становятся все более изощренными. Если вы все же храните свои пароли в центральном списке или файле, не храните их на виду или в виде обычного текста, — предлагает Кребс.По его словам, могут быть полезны приложения, управляющие паролями, и есть локальные приложения, которые не хранятся в облаке. Главное — создать надежный первичный пароль, который вы не забудете; если вы все же забудете об этом, вам, вероятно, не повезло.

Требуется дополнительное обучение по вопросам гигиены паролей

Итак, какой главный вывод из этих выводов? Хотя некоторые результаты являются многообещающими, свидетельствуя о том, что осведомленность людей о необходимости надежных и безопасных паролей растет, слишком многие пользователи продолжают полагаться на устаревшие и небезопасные пароли, которые ставят под угрозу их безопасность.Некоторые могут не осознавать, насколько рискованно их поведение с паролями, в то время как другие просто выбирают более легкий путь, зная, что они жертвуют некоторой безопасностью ради удобства.

Это может показаться незначительной проблемой, когда дело доходит до учетных записей, которые содержат мало или совсем не содержат конфиденциальной личной информации, но если вы повторно используете один и тот же пароль для нескольких учетных записей, взлом одной из этих менее важных учетных записей откроет вам врата. цифровая жизнь. Если вы еще не пользуетесь надежными паролями, пора активизировать свою игру.

Добавьте эту инфографику на свой сайт бесплатно!

Маленькая версия


Большая версия

Теги: Инфографика

Простые пароли остаются популярными, несмотря на риск взлома

Еще на заре Интернета самым популярным паролем учетной записи был «12345».

Сегодня это на одну цифру длиннее, но вряд ли безопаснее: «123456».

Несмотря на все сообщения о нарушениях безопасности Интернета за последние годы, включая недавние атаки на службу электронной почты Google, многие люди отреагировали на взломы пожиманием плечами.

Согласно новому анализу, каждый пятый веб-пользователь все же решает оставить цифровой эквивалент ключа под половиком: они выбирают простой, легко угадываемый пароль, например «abc123», «iloveyou» или даже «пароль», чтобы защитить свои данные.

«Я полагаю, это просто генетический недостаток у людей», — сказал Амихай Шульман, технический директор Imperva, которая производит программное обеспечение для защиты от хакеров. «Мы следуем одним и тем же схемам с 1990-х годов».

Г-н Шульман и его компания изучили список из 32 миллионов паролей, которые неизвестный хакер украл в прошлом месяце у RockYou, компании, которая производит программное обеспечение для пользователей социальных сетей, таких как Facebook и MySpace.Список был на короткое время размещен в сети, и его скачали хакеры и исследователи безопасности. (RockYou, которую уже широко критиковали за слабую политику конфиденциальности, посоветовал своим клиентам сменить пароли, так как хакер также получил информацию об их учетных записях электронной почты.)

Эта находка предоставила необычно подробное окно для пользователей компьютеров. ‘пароль привычки. Как правило, только государственные учреждения, такие как ФБР. или Агентство национальной безопасности имело доступ к такому большому списку паролей.

«Это была основная жила», — сказал Мэтт Вейр, докторант лаборатории электронных преступлений и технологий расследования в Университете штата Флорида, где исследователи также изучают данные.

Imperva обнаружила, что почти 1 процент из 32 миллионов человек, которых она изучила, использовали «123456» в качестве пароля. Вторым по популярности паролем был «12345». Среди других в топ-20 были «qwerty», «abc123» и «princess».

Еще более тревожным, по словам г-на Шульман, было то, что около 20 процентов людей в списке RockYou выбирали из той же относительно небольшой группы из 5 000 паролей.

Это говорит о том, что хакеры могут легко взломать многие учетные записи, просто попробовав самые распространенные пароли. Из-за преобладания быстрых компьютеров и высокоскоростных сетей хакеры могут сбрасывать тысячи паролей в минуту.

«Мы склонны думать о подборе пароля как о очень трудоемкой атаке, в которой я беру каждую учетную запись и пробую большое количество комбинаций имени и пароля», — сказал г-н Шульман. «Реальность такова, что вы можете быть очень эффективными, выбрав небольшое количество общих паролей.

Кредит … The New York Times

Некоторые веб-сайты пытаются помешать злоумышленникам заблокировать учетную запись на определенный период времени, если введено слишком много неправильных паролей. Но эксперты говорят, что хакеры просто учатся обманывать систему, например, делая предположения с приемлемой скоростью.

Для повышения безопасности некоторые веб-сайты вынуждают пользователей смешивать буквы, цифры и даже символы в своих паролях. Другие, например Twitter, не позволяют людям подбирать общие пароли.

Тем не менее, по мнению исследователей, социальные сети и развлекательные веб-сайты часто пытаются упростить жизнь своим пользователям и не хотят вводить слишком много элементов управления.

Даже коммерческие сайты, такие как eBay, должны взвесить последствия замораживания учетных записей, поскольку хакер может, скажем, попытаться выиграть аукцион, заморозив учетные записи других участников торгов.

Чрезмерное использование простых паролей — явление не новое. В аналогичном обзоре были изучены компьютерные пароли, использовавшиеся в середине 1990-х годов, и было обнаружено, что наиболее популярными в то время были «12345», «abc123» и «пароль».

Почему так много людей продолжают выбирать пароли, которые легко угадать, несмотря на множество предупреждений о рисках?

Эксперты по безопасности предполагают, что мы просто ошеломлены огромным количеством вещей, которые мы должны помнить в эту цифровую эпоху.

«В настоящее время мы должны держать в голове, наверное, в 10 раз больше паролей, чем 10 лет назад», — сказал Джефф Мосс, основавший популярную хакерскую конференцию, а теперь член Консультативного совета национальной безопасности. «Пароли голосовой почты, A.T.M. PIN-коды и интернет-пароли — их так сложно отследить ».

В идеализированном мире, отстаиваемом специалистами по безопасности, люди будут иметь разные пароли для каждого посещаемого веб-сайта и хранить их в своей голове или, если это абсолютно необходимо, на листе бумаги.

Но, склоняясь к реальности нашего переполненного мозга, эксперты предлагают каждому выбрать как минимум два разных пароля — сложный для веб-сайтов, где важна безопасность, таких как банки и электронная почта, и более простой для мест, где ставки ниже, например, в социальных сетях и на развлекательных сайтах.

Г-н Мосс полагается на пароли длиной не менее 12 символов, полагая, что они делают его более сложной целью, чем миллионы людей, выбирающих пяти- и шестизначные пароли.

«Это похоже на шутку, в которой туристы сталкиваются с медведем в лесу, а выживает тот, кто опережает своего приятеля», — сказал г-н Мосс. «Вы просто хотите бежать немного быстрее».

парольных фраз, которые вы можете запомнить, но которые не может угадать даже АНБ

I ПРОЩЕ для защиты вашей цифровой конфиденциальности. iPhone теперь шифрует большой объем личной информации; жесткие диски на компьютерах Mac и Windows 8.1 теперь автоматически блокируются; даже Facebook, который разбогател на открытом обмене, обеспечивает сквозное шифрование в инструменте чата WhatsApp.Но ни одна из этих технологий не обеспечивает такой защиты, как вы думаете, если не знаете, как придумать хорошую парольную фразу.

Парольная фраза похожа на пароль, но длиннее и надежнее. По сути, это ключ шифрования, который вы запоминаете. Как только вы начнете больше заботиться о своей конфиденциальности и улучшите свои привычки в области компьютерной безопасности, одно из первых препятствий, с которыми вы столкнетесь, — это создание кодовой фразы. Без него многого не добиться.

Например, когда вы шифруете свой жесткий диск, USB-накопитель или документ на своем компьютере, шифрование диска часто оказывается настолько сильным, насколько надежна ваша парольная фраза.Если вы используете базу данных паролей или функцию сохранения паролей в веб-браузере, вам нужно установить надежную главную парольную фразу для их защиты. Если вы хотите зашифровать свою электронную почту с помощью PGP, вы защищаете свой закрытый ключ парольной фразой. В своем первом электронном письме Лоре Пойтрас Эдвард Сноуден написал: «Пожалуйста, подтвердите, что ни у кого никогда не было копии вашего закрытого ключа и что он использует надежную парольную фразу. Предположим, ваш противник способен на один триллион догадок в секунду ».

В этом посте я описываю простой способ придумать легко запоминающиеся, но очень безопасные парольные фразы.Это последняя запись в продолжающейся серии статей, предлагающих решения — частичные и несовершенные, но полезные решения — многих проблем, связанных с наблюдением, о которых мы настойчиво сообщаем здесь, в The Intercept .

Оказывается, придумать хорошую парольную фразу, просто подумав о ней, невероятно сложно, и если ваш противник действительно способен на один триллион предположений в секунду, вы, вероятно, плохо с этим справитесь. Если вы используете полностью случайную последовательность символов, это может быть очень безопасно, но также мучительно запоминать (и, честно говоря, пустая трата мозговых ресурсов).

Но, к счастью, этого компромисса между удобством использования и безопасностью не должно быть. Существует метод генерации парольных фраз, которые невозможно угадать, даже самые мощные злоумышленники, но которые люди могут запомнить. Этот метод называется Diceware и основан на простой математике.

Ваш секретный пароль, вероятно, не очень умен

Люди часто берут фразу из поп-культуры — любимый текст из песни или любимую строчку из фильма или книги — и слегка искажают ее, изменяя заглавные буквы, добавляя знаки препинания или используя первую букву каждого слова из этой фразы.Некоторые из этих парольных фраз могут показаться хорошими и совершенно непостижимыми, но легко недооценить возможности тех, кто занимается отгадыванием парольных фраз.

Представьте, что ваш противник взял тексты из каждой когда-либо написанной песни, сценарии из каждого фильма и телешоу, текст из каждой книги, когда-либо оцифрованной, и каждую страницу Википедии на всех языках, и использовал это в качестве основы для своего списка предположений. . Выживет ли ваша кодовая фраза?

Если вы создали свою кодовую фразу, просто пытаясь придумать хорошую, есть довольно высокий шанс, что она недостаточно хороша, чтобы противостоять мощи шпионского агентства.Например, вы можете спросить: «Быть ​​или не быть / В чем вопрос?» Если это так, я могу гарантировать, что вы не первый, кто использует эту слегка искаженную классическую цитату Шекспира в качестве пароля, и злоумышленники это знают.

Причина, по которой цитата Шекспира отстойна в качестве парольной фразы, заключается в том, что ей не хватает чего-то, что называется энтропией . Вы можете думать об энтропии как о случайности, и это одна из самых важных концепций в криптографии. Оказывается, люди — это разновидность паттернов, и они не способны делать что-либо по-настоящему случайным образом.

Даже если вы не используете цитату, а вместо этого придумаете фразу, ваша фраза все равно будет далеко не случайной, потому что язык предсказуем. Как говорится в одном исследовательском документе по этой теме, «пользователи не могут выбирать фразы, состоящие из полностью случайных слов, но на них влияет вероятность того, что фраза встречается на естественном языке», что означает, что выбранные пользователем парольные фразы не содержат как столько энтропии, сколько вы думаете. Ваш мозг имеет тенденцию продолжать использовать общие идиомы и правила грамматики, которые уменьшают случайность.Например, он непропорционально решает следовать за наречием глаголом и наоборот, или, если привести один реальный случай из вышеупомянутой исследовательской работы, поставить слово «фест» после слова «колбаса».

парольных фраз, взятых из поп-культуры, фактов из вашей жизни, или всего, что приходит непосредственно из вашего разума, намного слабее, чем парольные фразы, наполненные реальной энтропией, собранные природой.

Это короткое, но поучительное видео с бесплатного онлайн-курса криптографии Khan Academy хорошо иллюстрирует эту мысль.

Создайте безопасную парольную фразу с помощью Diceware

Как только вы признаете, что ваши старые парольные фразы не так безопасны, как вы себе представляли, вы готовы к использованию техники Diceware.

Во-первых, возьмите копию списка слов Diceware, который содержит 7 776 английских слов — 37 страниц для тех, кто печатает дома. Вы заметите, что рядом с каждым словом стоит пятизначное число от 1 до 6. Вот небольшой отрывок из списка слов:

 24456 eo
24461 эп.
24462 эпа
24463 эпос
24464 эпоха 

Теперь возьмите несколько шестигранных кубиков (да, настоящих реальных физических кубиков) и бросьте их несколько раз, записывая полученные числа.Вам понадобится всего пять бросков кубиков, чтобы придумать первое слово в вашей кодовой фразе. Здесь вы делаете , генерируя энтропию , извлекая истинную случайность из природы и превращая ее в числа.

Если вы выберете число два, затем четыре, затем снова четыре, затем шесть, затем три и затем посмотрите в списке слов Diceware 24463, вы увидите слово «эпический». Это будет первое слово в вашей кодовой фразе. А теперь повтори. Вам нужно придумать кодовую фразу из семи слов, если вы беспокоитесь о том, что АНБ или китайские шпионы когда-нибудь попытаются ее угадать (подробнее о логике этого числа ниже).

Используя Diceware, вы получаете парольные фразы, которые выглядят как «cap liz donna demon self», «bang vivo thread knob knob train» и «brig alert rope welsh foss rang orb». Если вам нужен более сильный пароль, вы можете использовать больше слов; если более слабая кодовая фраза подходит для ваших целей, вы можете использовать меньше слов.

Насколько надежны парольные фразы Diceware?

Надежность парольной фразы Diceword зависит от того, сколько слов она содержит. Если вы выберете одно слово (из списка, состоящего из 7 776 слов), злоумышленник с вероятностью 1 из 7 776 угадывает ваше слово с первой попытки.Чтобы угадать ваше слово, злоумышленнику потребуется как минимум одна попытка, максимум 7776 попыток и в среднем 3888 попыток (поскольку существует 50-процентная вероятность, что злоумышленник угадает ваше слово к тому моменту, когда он наполовину прочитает список слов).

Но если вы выберете два слова для своей ключевой фразы, размер списка возможных парольных фраз возрастет в геометрической прогрессии. Есть еще один шанс из 7776 угадать ваше первое слово правильно, но для каждого первого слова есть также один шанс из 7776 угадать правильно второе слово, и злоумышленник не узнает, правильно ли первое слово, не угадав. вся кодовая фраза.

Это означает, что в двух словах имеется 7,776 2 или 60,466,176 различных потенциальных парольных фраз. В среднем парольную фразу Diceware из двух слов можно угадать после первых 30 миллионов попыток. А парольную фразу из пяти слов, в которой могло бы быть 7 776 5 возможных парольных фраз, можно было угадать в среднем после 14 квинтиллионов попыток (14 с 18 нулями).

Степень неопределенности парольной фразы (или ключа шифрования, или любого другого типа информации) измеряется в битах энтропии .Вы можете измерить, насколько безопасна ваша случайная парольная фраза, по тому, сколько бит энтропии она содержит. Каждое слово из списка Diceware стоит около 12,92 бита энтропии (потому что 2 12,92 — это примерно 7 776). Итак, если вы выберете семь слов, вы получите парольную фразу с примерно 90,5 битами энтропии (потому что 12,92 умножить на семь примерно 90,5).

Другими словами, если злоумышленник знает, что вы используете парольную фразу Diceware из семи слов, и выбирает семь случайных слов из списка слов Diceware, чтобы угадать, есть один шанс из 1,719 070,799,748,422,591,028,658,176, что они будут выбирать вашу фразу-пароль при каждой попытке. .

При одном триллионе предположений в секунду — согласно предупреждению Эдварда Сноудена в январе 2013 года — потребуется в среднем 27 миллионов лет, чтобы угадать эту парольную фразу.

Неплохо для такой фразы-пароля, как «bolt vat frisky fob land hazy жесткого», которую большинство людей вполне может запомнить. Сравните это с «d07; oj7MgLz’% v », случайным паролем, который содержит немного меньше энтропии, чем парольная фраза Diceware из семи слов, но который значительно труднее запомнить.

Парольная фраза из пяти слов, напротив, будет взломана менее чем за шесть месяцев, а парольная фраза из шести слов займет в среднем 3505 лет при триллионе угадываний в секунду.Принимая во внимание закон Мура, компьютеры постоянно становятся все более мощными, и в скором времени 1 триллион предположений в секунду может показаться медленным, поэтому неплохо дать вашим парольным фразам передышку безопасности.

В такой системе не имеет значения, что список слов, из которого вы выбираете, является общедоступным. Неважно, какие слова в списке (двухбуквенные слова так же безопасны, как и шестибуквенные). Все, что имеет значение, — это длина списка слов и то, что каждое слово в списке уникально.Вероятность угадывания ключевой фразы, состоящей из этих случайно выбранных слов, экспоненциально уменьшается с каждым добавленным вами словом, и, используя этот факт, можно создавать парольные фразы, которые невозможно угадать.

Я действительно должен использовать кости?

Это более длинное обсуждение, но короткий ответ таков: использование физических кубиков даст вам гораздо более надежную гарантию того, что ничего не пошло не так. Но это отнимает много времени и утомительно, и почти всегда достаточно использовать компьютер для генерации этих случайных чисел.

К сожалению, не существует удобного программного обеспечения, которое помогло бы людям генерировать парольные фразы Diceware, только различные проекты Diceware, работающие только в командной строке, на GitHub, которые опытные пользователи могут проверить. Следите за новостями об этом в будущем.

Как запомнить свою сумасшедшую кодовую фразу (не сойдя с ума)

После того, как вы сгенерировали кодовую фразу, следующим шагом будет ее сохранение в памяти.

Я рекомендую вам записать новую кодовую фразу на листе бумаги и носить ее с собой столько, сколько вам нужно.Каждый раз, когда вам нужно напечатать его, попробуйте сначала набрать его по памяти, но посмотрите на бумагу, если вам нужно. Предполагая, что вы печатаете ее пару раз в день, не должно пройти больше двух-трех дней, прежде чем бумага вам больше не понадобится, после чего ее следует уничтожить.

Регулярный ввод парольной фразы позволяет вам запоминать ее с помощью процесса, известного как интервальное повторение, согласно многообещающим исследованиям парольных фраз с высокой энтропией.

Теперь, когда вы знаете парольные фразы, вот когда их следует избегать

Парольные фразы

Diceware отлично подходят, когда вы вводите их на свой компьютер, чтобы расшифровать что-то локально, например жесткий диск, секретный ключ PGP или базу паролей.

Они не так уж нужны для входа на веб-сайт или что-то еще в Интернете. В таких ситуациях вы получаете меньше пользы от использования парольной фразы с высокой энтропией. Злоумышленники никогда не смогут угадать триллион раз в секунду, если каждое предположение требует связи с сервером в Интернете. В некоторых случаях злоумышленники будут владеть удаленным сервером или перехватить его — в этом случае они могут захватить парольную фразу, как только вы войдете в систему, и отправить ее, независимо от того, насколько она надежна или слабая криптографически.

Для входа на веб-сайты и другие серверы используйте базу паролей. Мне нравится KeePassX, потому что он бесплатный, открытый, кроссплатформенный и никогда ничего не хранит в облаке. Затем заблокируйте все свои пароли с помощью главной парольной фразы, которую вы генерируете с помощью Diceware. Используйте свой менеджер паролей, чтобы сгенерировать и сохранить разные случайные пароли для каждого веб-сайта, на который вы входите.

Как мы используем Diceware для защиты наших источников

В The Intercept мы запускаем сервер SecureDrop, систему подачи информаторов с открытым исходным кодом, чтобы анонимным источникам было проще и безопаснее связываться с нами.

Когда новый источник посещает наш сайт SecureDrop, ему присваивается кодовое имя, состоящее из семи случайных слов. После отправки сообщений или документов они могут использовать это кодовое имя для повторного входа в систему и проверки ответов от наших журналистов.

Под капотом это кодовое имя не только действует как кодовая фраза для шифрования источника, но на самом деле это просто кодовая фраза, сгенерированная с помощью метода Diceware, но с помощью цифрового криптографически безопасного генератора случайных чисел, а не игральных костей.Словарь SecureDrop состоит всего из 6800 слов (разработчики удалили некоторые слова из исходного списка слов, которые можно было бы считать оскорбительными), поэтому каждое слово имеет значение около 12,73 бита энтропии. Но этого все еще достаточно, чтобы никто не мог просто угадать кодовое название источника, если только он не обладает огромными вычислительными ресурсами и несколькими миллионами лет.

Иными словами, простые случайные парольные фразы так же хороши для защиты следующего шпиона, сообщающего о нарушениях, и для защиты вашего ноутбука.Жалко, что мы живем в мире, где обычные граждане нуждаются в таком уровне защиты, но пока мы это делаем, система Diceware позволяет получить защиту на уровне ЦРУ, не проходя обучение секретным операциям.

Спасибо Гарретту Робинсону за перепроверку моих математических расчетов и за предотвращение совершения глупых ошибок.

Верхнее фото: Getty Images

Сброс пароля к аккаунту | Простой справочный центр по счету

Если вы потеряли доступ к своей учетной записи и больше не помните свой пароль для входа, следующие шаги помогут вам:

Для мобильных приложений (Android и iOS):

В мобильном приложении , Первым шагом будет зайти в настройки приложения, вы можете сделать это, нажав на значок шестеренки в верхнем левом углу экрана:

Зайдя в настройки, прокрутите вниз, пока не дойдете до раздела Учетная запись, вверху вы должен увидеть ваш адрес электронной почты для входа, это адрес электронной почты, который вам нужно использовать для входа в свою учетную запись, а также адрес электронной почты, на который мы отправим электронное письмо для сброса пароля, затем нажмите « Сменить учетную запись »:

Как только вы нажмете это, приложение примет вы перейдете на страницу входа, где найдете ссылку «Забыли пароль», вам нужно будет сначала заполнить свой адрес электронной почты для входа в систему, а затем нажать «Забыли пароль?»

Вы получите всплывающее сообщение, которое показывает, что на ваш адрес электронной почты для входа было отправлено электронное письмо:

, вам нужно будет проверить свою электронную почту, вы должны получить электронное письмо, содержащее ссылку для сброса пароля, нажмите на ссылку, чтобы создать новый пароль:

Если при выполнении этих шагов у вас возникнут какие-либо проблемы, вы всегда можете нажать «Связаться со службой поддержки», наша служба поддержки доступна 24/7.

Для веб-приложения:

Если вы уже вошли в систему, нажмите кнопку выхода в самом правом верхнем углу страницы, это вернет вас на страницу входа, где вы должны увидеть ссылку «Забыли? Пароль »:

После того, как вы нажмете на эту ссылку, вы попадете на страницу, где вы можете ввести свой адрес электронной почты для входа, а затем нажать кнопку« Сбросить пароль »:

Затем вы вернетесь на страницу входа, на этом этапе вы должны получить электронное письмо со ссылкой для сброса пароля:

. Если вы не получили электронное письмо со ссылкой для сброса, вы можете проверить свою электронную почту (спам или нежелательная почта), так как она может иметь оказались там, если вы все еще не можете найти его, обратитесь в нашу круглосуточную службу поддержки клиентов, перейдя на наш веб-сайт и нажав синюю кнопку чата в правом нижнем углу страницы:

или по электронной почте ( Support @ счет-фактура простой.com ), мы будем рады вам помочь.

Как создать надежный пароль, который вы можете запомнить

Следуйте нашему простому руководству, чтобы легко создать легко запоминающийся, но безопасный пароль.

По мере того, как наша жизнь все больше и больше перемещается в онлайн, необходимость поддерживать безопасные онлайн-профили становится критически важной. Создать пароль недостаточно, это должен быть надежный пароль. Однако распространено заблуждение, что многие думают, что надежный пароль трудно запомнить. Неправда, и у меня для вас хорошие новости.Сегодня я расскажу, как создать простой для запоминания, но надежный пароль.

Как создать надежный и безопасный пароль

  1. Используйте парольную фразу.
    • Самое замечательное в парольной фразе то, что она длинная, это не словарное слово, а в некоторых случаях легко включать специальные символы, которые сложно угадать как человеку, так и компьютеру, пытающемуся взломать ваш пароль с помощью грубой силы. Например, предыдущий пароль, который я использовал недавно, был: Мой ноутбук черный и уродливый! — Вау, 28-значный пароль, который легко запомнить (я просто смотрю на свой ноутбук), и его почти невозможно угадать или взломать (если вы не посмотрите на мой ноутбук).Некоторые сервисы, такие как Twitter, не допускают пробелов в паролях, поэтому время от времени вам может потребоваться их корректировка. Я также рекомендую добавить числовой символ, если вы особенно параноик и обычно не используете двухфакторную аутентификацию для своих онлайн-аккаунтов.
  2. Используйте инструмент управления паролями
    • Здесь, на GroovyPost, мы предлагаем два менеджера паролей. LastPass и 1Password. Оба являются фантастическими, современными инструментами, которые не только помогут вам создавать длинные и надежные пароли, но и безопасно хранить их в Интернете, чтобы вы могли безопасно получить доступ к своим паролям на всех ваших устройствах.
    • Что касается лучшего, я использую 1Password дома и LastPass на работе. Итак, оба великолепны. Однако, если у вас есть семья, мне понравится семейный план 1Password. Он прост в использовании и работает на всех устройствах моей семьи.
  3. Надежный пароль — это уникальный пароль.
    • Как бы заманчиво это ни казалось, никогда никогда использовать один и тот же пароль на нескольких веб-сайтах. Обмен паролями между сайтами похож на игру в русскую рулетку.Достаточно одного взлома веб-сайта, чтобы испортить вам день, особенно если этот пароль используется во всех ваших онлайн-аккаунтах. Добавьте уровень безопасности к своему онлайн-следу, используя уникальные пароли на каждом веб-сайте. Это еще одна причина, по которой я использую менеджер паролей. Каждый пароль уникален, и 1Password предупреждает меня, если я случайно повторно использую пароль на нескольких сайтах.
  4. Не используйте словарные слова .
    • Да, я знаю, ваши дети милые, но их имена составляют ужасные пароли, как и месяцы в году, названия фильмов и милые пушистые питомцы.Словарные слова легко угадать, и — это около миллиона приложений, которые специализируются на атаках на аккаунты с использованием словарных слов на всех известных языках. Единственное исключение из этого правила — использование словарных слов в ключевой фразе, как упомянуто выше.
  5. Как и большинство ценных вещей в жизни, пароли нуждаются в ремонте.
    • Другими словами, если вы какое-то время использовали один и тот же пароль, измените его. Опять же, используя парольную фразу, у вас не должно возникнуть проблем с составлением простой, уникальной фразы, которую вы легко запомните.Если вы не знаете, как изменить некоторые пароли своей учетной записи, не беспокойтесь. Вот несколько из наших самых популярных руководств по смене паролей на Amazon, Facebook и Twitter.
  6. Вопреки распространенному мнению, пароли, написанные на желтой наклейке, спрятанной под клавиатурой, не обеспечивают ее безопасности. Так что не делай этого! Почти во всех случаях, если произойдет худшее, и вы забудете свой пароль, вы почти всегда можете сбросить его, используя свой адрес электронной почты.

Что дальше?

Когда дело доходит до сетевой безопасности, требуется несколько уровней.Один из наиболее важных уровней — двухфакторная аутентификация. Это немного сложнее, однако, как всегда, у нас есть пошаговые инструкции, которые проведут вас через процедуру. Вы знаете кого-нибудь, кто использует в Интернете действительно плохие пароли? Сделайте им одолжение и поделитесь с ними этими советами сегодня!

5 лучших менеджеров паролей: функции, цены и советы

Bitwarden безопасен, имеет открытый исходный код и бесплатный без ограничений. Приложения отточены и удобны для пользователя, что делает их лучшим выбором для тех, кому не нужны дополнительные функции 1Password.

Я упоминал, что это открытый исходный код? Это означает, что код, на котором работает Bitwarden, свободно доступен для проверки, поиска и исправления недостатков. Теоретически, чем больше внимания уделяется коду, тем более герметичным он становится. Bitwarden также прошел аудит на 2020 год третьей стороной на предмет безопасности. Его можно установить на вашем собственном сервере для удобного самостоятельного размещения, если вы предпочитаете запускать собственное облако.

Существуют приложения для Android, iOS, Windows, macOS и Linux, а также расширения для всех основных веб-браузеров, а также менее распространенные варианты, такие как Opera, Brave и Vivaldi (все они поддерживают расширения Chrome).Bitwarden также поддерживает Windows Hello и Touch ID в своих настольных приложениях для Windows и macOS, что обеспечивает дополнительную безопасность этих биометрических систем.

Еще мне нравится полуавтоматический инструмент для ввода пароля BitWarden. Если вы посещаете сайт, для которого вы сохранили учетные данные, значок браузера Bitwarden показывает количество сохраненных учетных данных с этого сайта. Щелкните значок, и он спросит, какую учетную запись вы хотите использовать, а затем автоматически заполнит форму входа. Это упрощает переключение между именами пользователей и позволяет избежать ошибок автозаполнения, которые мы упоминаем в конце этого руководства.Если вам просто необходимо иметь полностью автоматизированное заполнение форм, Bitwarden также поддерживает это.

Bitwarden предлагает платное обновление учетной записи. Самый дешевый из них, Bitwarden Premium, стоит 10 долларов в год. Это дает вам 1 ГБ зашифрованного хранилища файлов, двухфакторную аутентификацию с такими устройствами, как YubiKey, FIDO U2F, Duo, а также отчет о гигиене паролей и состоянии хранилища. Плата также дает вам приоритетную поддержку клиентов.

Bitwarden бесплатно (40 долларов в год для семей)

После регистрации загрузите приложение для Windows, MacOS, Android, iOS или Linux.Существуют также расширения для браузеров Firefox, Chrome, Safari, Edge, Vivaldi и Brave .

Лучший полнофункциональный менеджер

Dashlane

Скриншот: Dashlane

Я впервые столкнулся с Dashlane несколько лет назад. Тогда он был таким же, как и его конкуренты, без каких-либо выдающихся качеств. Но недавние обновления добавили несколько полезных функций. Одно из лучших — это оповещения о взломе сайта.

Ваш комментарий будет первым

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *