Логины и пароли. Создание паролей: как придумать надежный пароль

В современном мире защита данных — один из главных факторов кибербезопасности. К счастью, Windows предоставляет такую возможность без установки дополнительного ПО. Пароль обеспечит сохранность ваших данных от посторонних и злоумышленников. Особую актуальность секретная комбинация приобретает в ноутбуках, которые чаще всего подвержены кражам и потерям.

В статье будут рассмотрены основные способы добавления пароля на компьютер. Они все уникальны и позволяют войти в систему даже с использованием пароля от учетной записи Майкрософт, но данная защита не гарантирует 100% безопасности от проникновения посторонних личностей.

Способ 1: Добавление пароля в «Панели управления»

Способ запароливания через «Панель управления» — один из самых простых и часто используемых. Прекрасно подходит для новичков и неопытных юзеров, не требует запоминания команд и создания дополнительных профилей.

  1. Нажмите на «Меню пуск» и кликните «Панель управления» .

  2. Выберите вкладку «Учетные записи пользователей и семейная безопасность» .

  3. Кликните на «Изменение пароля Windows» в разделе «Учетные записи пользователей» .

  4. Из списка действий над профилем выберите «Создание пароля» .

  5. В новом окне есть 3 формы для ввода основных данных, которые необходимы для создания пароля.

  6. Форма «Новый пароль» предназначена для кодового слова или выражения, которое будет запрашиваться при запуске компьютера, обратите внимание на режим «Caps Lock» и раскладку клавиатуры при его заполнении. Не создавайте очень простые пароли вроде «12345», «qwerty», «йцукен» . Придерживайтесь рекомендаций Microsoft по выбору секретного ключа:
    • Секретное выражение не может вмещать логин учетной записи пользователя или любую его составляющую;
    • Пароль должен состоять более чем из 6 символов;
    • В пароле желательно применить заглавные и прописные буквы алфавита;
    • В пароле рекомендуется использовать десятичные цифры и неалфавитные символы.

  7. «Подтверждение пароля» — поле, в которое требуется ввести ранее придуманное кодовое слово, чтобы исключить ошибки и случайные нажатия, так как введенные символы скрыты.

  8. Форма «Введите подсказку для пароля» создана для напоминания пароля, если вы его не сможете вспомнить. Используйте в подсказке данные известные только вам. Это поле необязательное, но рекомендуем его заполнить, иначе существует риск лишится вашей учетной записи и доступа к ПК.

  9. Когда заполните обязательные данные, нажмите «Создать пароль» .

  10. На этом этапе процедура установки пароля окончена. Посмотреть статус вашей защиты можно в окне внесения изменений в учетную запись. После перезагрузки, Windows потребует секретное выражение для входа. Если у вас всего лишь один профиль с привилегиями администратора, то не зная пароля, доступ к Windows получить будет невозможно.

Способ 2: Аккаунт Microsoft

Данный способ позволит вам получать доступ к компьютеру при помощи пароля от профиля Microsoft. Кодовое выражение можно будет сменить с помощью электронного адреса или номера телефона.

  1. Найдите «Параметры компьютера» в стандартных приложениях Windows «Меню пуск» (так это выглядит на 8-ке, в Виндовс 10 получить доступ к «Параметрам» можно по нажатию соответствующей кнопки в меню «Пуск» или посредством использования комбинации клавиш Win+I ).

  2. Из списка параметров выберите раздел «Учетные записи» .

  3. В боковом меню кликните на «Ваша учетная запись» , далее «Подключиться к учетной записи Майкрософт» .

  4. Если у вас уже есть аккаунт Майкрософт, введите e-mail, номер телефона или имя пользователя и пароль.

  5. В противном случае создайте новую учетную запись, введя запрашиваемые данные.

  6. После авторизации потребуется подтверждение уникальным кодом из СМС.

  7. После всех манипуляций Windows будет запрашивать пароль от учетной записи Майкрософт для входа.

Способ 3: Командная строка

Этот метод подходит для более продвинутых пользователей, так как подразумевает знание консольных команд, однако он может похвастаться быстротой своего исполнения.

Заключение

Создание пароля не требует особой подготовки и особых навыков. Основную сложность представляет придумывание самой секретной комбинации, а не установка. При этом не стоит полагаться на этот метод, как на панацею в сфере защиты данных.

Нужно работать сразу с несколькими компаниями, а значит в каждой нужно регистрироваться и использовать надежный пароль. Для соцсетей, например, тоже не помешает хорошая защита… В общем, тема более чем актуальная, так что сегодня и поговорим о том, какой же пароль будет достаточно сложным для хакеров, как его запомнить , а также как хранить много сложных паролей удобно и в надёжном месте.

Как хакеры взламывают пароли

Мне сразу вспоминается сериал «Шерлок» (4 сезон в январе ура-ура), где наш гениальный детектив всего за несколько попыток смог разгадать весьма нетривиальный пароль на телефоне Ирен Адлер:

Выбери она любую случайную комбинацию из четырёх букв и цифр — вряд ли даже у Шерлока Холмса что-то получилось бы. Вообще киношники любят вставлять такие сцены (вспомните любой другой с отгадыванием пароля), но самое интересное, что и в жизни подобное очень даже работает. Такой метод взлома называется логическим угадыванием — и основывается на известной информации о пользователе.

Если злоумышленник знает имя, фамилию и дату рождения — он за несколько минут может перебрать возможные комбинации и взломать пароль, в котором используется эта информация. Ну что, наверняка же используете хотя бы один такой? :)

Кстати, а вы знаете, какие пароли встречаются чаще всего ? В сети я нашел такую табличку с примерами самых популярных паролей:

Как видите, в основном это простые комбинации цифр и букв. Частота здесь не указана, но допустим если хотя бы 1% пользователей использует примитивный пароль 123456 — сколько аккаунтов сможет взломать хакер на большом сервисе? А если прогнать все известные популярные пароли? Вот именно…

Между прочим, существуют специальные словари паролей, которые можно скачать из Интернета. К счастью, популярные сайты уже давно требуют от пользователей хотя бы минимально усложнять вводные данные — использовать заглавные и строчные буквы, как минимум пару цифр и проверяют, чтобы пароль не был в тех же словарях.

Тем не менее, этого может быть недостаточно, если хакер обладает большими ресурсами и специальными программами. Так называемый метод грубой силы позволяет отгадывать пароли простым перебором всех возможных комбинаций, современные возможности компьютеров вполне это позволяют.

Чем больше используется разных символов (заглавные и строчные буквы, цифры, точки/тире/запятые и т.д.) и чем длиннее пароль — тем больше времени понадобится компьютеру, чтобы проверить все возможные варианты. Сколько же? Допустим, в пароле используются только строчные английские буквы и цифры, тогда ситуация такая:

Как видите, пароль меньше 7 символов вполне можно взломать за один день, а 7-символьный ломается за недельку, если хакеру повезет — ещё быстрее. В общем, примерно так выглядит сложность паролей для метода грубой силы, выводы я думаю очевидны.

Впрочем, даже если вы создадите хороший, сложный пароль, есть и обходные способы для его взлома. Например, на почту приходит письмо с фразой вроде «для вывода денег пришлите свой пароль для проверки», разумеется этого делать ни в коем случае не следует ! Администрация любого сайта или сервиса никогда не будет спрашивать ваш пароль, он и так у них есть в базе данных.

Еще один способ получить пароль — каким-то образом «подсмотреть» его. В детстве, когда я ходил в компьютерный клуб, это было реальной проблемой — вокруг куча людей и ввести пароль от своего игрового аккаунта так, чтобы никто не подсмотрел его, было непросто. Случаи краж игровой валюты и вещичек случались:)

Злоумышленники также могут подсадить на ваш компьютер программу-троян , которая записывает, что вы вводите с клавиатуры. Для защиты от подобной атаки, разумеется, нужно использовать антивирус .

Ну вот, теперь вы знаете самые простые способы взлома ваших данных. Как же от них защититься и создать сложный и надежный пароль?

Как создать и запомнить надежный пароль

Как мы уже выяснили, длина пароля должна быть не меньше 8 знаков, причём очень желательно, чтобы в нём использовались разные типы символов:

  • строчные буквы — a,b,c…;
  • заглавные буквы — A, B, C…;
  • цифры — 0,1,2…;
  • знаки препинания — запятая, тире, знак вопроса и т.д.;
  • специальные символы — @, #, $, % и т.д.

Проверить сложность пароля можно, например, на сайте Лаборатории Касперского , выглядит довольно живенько:

Пароль необязательно создавать вручную, существует куча сайтов, где можно это сделать, просто введите в поисковой системе запрос «генератор паролей» — вам выдаст большой список. Конечно, возникает вопрос — а не записывает ли конкретный сайт введённые пароли? Даже если так, еще нужно знать логин, да и неизвестно ведь, где вы будете применять полученную комбинацию.

Чтобы все же успокоить свою паранойю, можно сгенерировать пароль на сайте, а потом изменить в нём несколько символов — сложность не поменяется, а взлома грубым перебором будет по прежнему очень низким.

Проблема со сгенерированными паролями одна — запомнить хотя бы один довольно сложно, а в идеале-то для каждого сайта нужен уникальный . Один из лучших способов упростить себе задачу — использовать слова на вашем родном языке в английской раскладке, разбавляя их цифрами и знаками.

Вот пример несложного для запоминания, но очень даже качественного пароля. Возьмем русское существительное «утюг» и логически не относящийся к нему глагол «зеленеет». В качестве цифр, допустим, будет год рождения известного писателя — Льва Толстого, 1828. Ну и приправим восклицательным знаком!

Немножко перемешаем — и получаем такой пароль — en.u18!ptktyttn28. Я записал русские слова с использованием английской раскладки, год рождения разбил на 2 части и подставил в конце каждого слова, а посередине восклицательный знак. Вроде бы ничего сложного, но пароль получается весьма качественным:

Можно придумать и другие похожие способы создания пароля — все они дадут отличный результат. Впрочем, это всё равно не помогает следовать правилу 1 сайт — 1 пароль , сложно запомнить больше пяти комбинаций и не начать их использовать по нескольку раз. Получается, необходимо место для хранения важных данных.

Программы для хранения паролей

Отдельно хочу сказать, что записывать на бумажке и приклеивать к монитору — идея так себе:)

Можно, например записывать пароли в тетрадку, но это не очень удобно — каждый раз нужно вводить пароль вручную да еще и таскать её повсюду с собой. Да и любой, кто увидит вас, заглядывающего в тетрадку и что-то вводящего на компьютере, быстро поймёт что к чему и может попытаться её украсть.

Все же более практично, на мой взгляд, использовать специализированную программу для хранения паролей. Во-первых, их можно хранить прямо в браузере — после первого введения вас спрашивают, нужно сохранять или нет:

Это достаточно удобно, да и получить доступ к хранилищу не так уж просто — главное вовремя обновлять браузер, уязвимости устраняются постоянно. Конечно, есть и свои минусы — если компьютером пользуется еще кто-то, он может легко использовать сохранённые пароли.

В браузере вполне можно хранить не особо важные данные — от каких-нибудь аккаунтов на форумах или бесплатных сервисов, взлом которых не нанесёт вам особого вреда.

Более ценные данные стоит хранить как минимум с дополнительными средствами защиты. Для браузеров есть специальное расширение LastPass , которое делает примерно то же самое, что и сам браузер, но получше. Само хранилище можно заблокировать паролем, вам нужно будет придумать всего один по методу «зеленеющего утюга» и запомнить его.

Минус LastPass в том, что ваши пароли все же находятся на посторонних серверах, и если их взломают (а истории со взломами крупнейших корпораций говорят о том, что никто не застрахован), данные утекут к злоумышленникам.

Более воодушевляющий опыт я получил, работая с обычной программкой для хранения паролей под Windows — KeePass . Она бесплатна и основана на открытом коде, а значит многие программисты её проверяли и не нашли скрытых ходов, позволяющих своровать данные.

Она англоязычная, пожалуй это единственный минус, который я обнаружил до сих пор. Смысл такой — все пароли находятся в базе данных, которая защищена отдельным паролем и файлом-ключом:

Главный пароль (Master Password) должен быть очень сложным, но поскольку он один — запомнить его легче. База паролей выглядит так:

У меня вот есть несколько групп паролей — Почта, Форекс, Соцсети и т.д, в каждой из них хранятся различные записи. В принципе, всё устроено достаточно просто, особенно если вы знаете английский.

Вероятно, вам хотелось бы получить подробную инструкцию по использованию KeePass. Давайте так — если хотя бы 5 разных человек в комментариях попросит написать статью или спросит что-нибудь про программу для хранения паролей, я буду считать что аудитория заинтересована и на следующей неделе сделаю:)

А на этом всё! Вот вы и узнали основы создания и хранения надежных паролей. Давайте-ка проверим, как обстоят дела у читателей Вебинвеста:) Нужен такой сайт, которым бы пользовались все… думаю, социальные сети подойдут. Итак, прошу вас с помощью голосовалки рассказать о том, насколько сложный пароль вы используете для любимой соцсети:

Надеюсь, что после моей статьи ситуация сдвинется в лучшую сторону.

Друзья, вообще вы как, ответственно относитесь к паролям? Или считаете, что не стоит слишком забивать голову, заморочки того не стоят и можно обойтись достаточно простыми? Оставляйте свои мнения в комментариях.

До встречи в новых статьях Вебинвеста! Зима близко… пожалуйста, не болейте.

(добавляйтесь в дрyзья

Мы часто говорим в пошаговых инструкциях сайта сайт, что пароли нужно создавать надежными, длинными и сложными. Но что все это означает на практике?

Давайте разберемся с темой создания надежных паролей прямо сейчас и научимся создавать хорошие пароли, которые не смогут взломать злоумышленники.

Сразу отметим, что ни один из нижеследующих советов не дает 100% защиты от взлома или хищения. Такого способа, который бы гарантировал точную защиту от мошенников, просто не существует в мире!

Если ваш пароль захотят раздобыть профессионалы хака, они это сделают, однако надежные пароли могут отсеять часть новичков и неспециалистов, усложнят задачу взлома вашего аккаунта и сильно попортят нервы злоумышленникам, а потому в хороших паролях все же есть смысл.

Как мошенники узнают пароль

Существует несколько способов получения вашего секретного пароля:

1. Простое воровство, кража, хищение пароля:

  • через специальные программы,
  • по Интернету,
  • через подставные сайты,
  • через поддельные программы,
  • через доступ к вашему компьютеру или листику, на котором вы записываете пароли,
  • наконец, через шантаж, пытку и допрос (последнее — шутка, конечно, но некоторые девушки реально этими путями выпытывают пароли своих парней, чтобы контролировать переписку!).

Часто такие мошенники могут маскировать свои цели под вполне безобидные, например, вас просят предоставить данные для входа в профиль, чтобы войти в программу или чтобы подтвердить вашу регистрацию или выполнить разблокировку профиля.

2. Социальная инженерия. Суть метода включает логический подход и анализ вашей персоны с выявлением вашей личностной информации (год рождения, имена близких, паспортные данные, телефоны, фамилии родственников, клички домашних животных…).

3. Простой перебор по словарям. Наиболее простой и глупый способ, которым все же удается взламывать простые пароли, состоящие из словарных слов, популярных комбинаций вроде 123456789 или abcdef или qwert. Здесь фактически запускается программа со встроенным словарем и идет перебор словарных комбинаций.

4. Грубый перебор. Аналогичен предыдущему методу, но включает все возможные комбинации вообще. Система перебирает любые значения, а мошенник надеется на удачу, что какие-то варианты могут совпасть.

Если учесть скорость такого перебора (порядка 100 000 или даже 1000 000 комбинаций за минуту), вероятность совпадения достаточно высока.

Как создать/придумать хороший пароль

Надежный пароль должен:

а) состоять из букв и цифр;
б) иметь 8 и более символов;
в) содержать и заглавные (прописные) и строчные буквы;
г) включать символы (не цифробуквенные знаки);
д) не совпадать ни с одним словарным словом (на всех языках).

Чтобы быстро создать хороший пароль, мы бы советовали взять запоминающуюся фразу или выражение, которое никак не связано с вашей персоной, и набрать его без пробелов в английской раскладке.

Попутно необходимо разбавить эту фразу простыми символами и цифрами, но так, чтоб это было нелогично. После этого остается лишь заменить несколько строчных букв прописными, и дело сделано, хороший пароль готов. Но все это проще понять на примерах.

ПРИМЕР создания хорошего пароля №1

Шаг №1

Возьмем ту же фразу «надежный пароль», наберем ее в английской раскладке, получим «yflt;ysq gfhjkm».

Шаг №2

Теперь уберем пробел между словами и заменим пару строчных букв заглавными, получим «yflt;ysQgfhjKm».

Шаг №3

Теперь добавим пару цифр, например, в начале и конце фразы, получим «2yflt;ysQgfhjKm1»

ИТОГО: в нашем пароле 16 знаков, есть заглавные и строчные буквы, есть цифры и символы, нет словарных слов! Это хороший и надежный пароль, который легко запомить по фразе «2надежныЙ пароЛь1» (только без пробела в центре).

ПРИМЕР создания хорошего пароля №2

Шаг №1

Возьмем следующую фразу «мир дому», наберем ее в английской раскладке, получим «vbh ljve».

Шаг №2

Теперь уберем пробел между словами и заменим пару строчных букв заглавными, получим «vBhljVe» (заменили 2-ю слева и 2-ю справа буквы во фразе).

Шаг №3

Теперь добавим цифры, например, в конце фразы, получим «vBhljVe21».

Шаг №4

Усложним фразу-пароль каким-нибудь символом, но не между словами, а после первой буквы, чтоб было нелогично, получим «v~BhljVe21»

ИТОГО : в нашем пароле 10 знаков, есть заглавные и строчные буквы, есть цифры и символы, нет словарных слов. Вот так фраза «мир дому» у нас превращается в классный и сложный пароль! И запомнить ее легко.

Чем более нелогичны и необычны ваши приемы при создании пароля, тем выше будет его надежность!

Вот так просто создать сложный и надежный пароль, который будет хорошо защищать ваш профиль от простого взлома. При этом стоит помнить, что для разных сайтов должны создаваться разные пароли, и все они обязаны соответствовать вышеизложенным требованиям.

Если же вы проигнорируете эти советы, будете пользоваться простыми комбинациями, личными данными или словарными словами, одинаковыми паролями везде и всюду, не стоит удивляться взломам ваших профилей, мы вас предупреждали….

И ни в коем случае не вводите пароли на сайтах или в программах, вызывающих хоть малейшие сомнения! Ведь злоумышленнику проще украсть ваш пароль, чем заниматься его подборкой.

Только на первый взгляд непробиваемые пароли не содержат логической структуры и выглядят, как абракадабра. Сложные пароли являются таковыми лишь для тех, кто не знает рецепт их создания. Вам вовсе не обязательно запоминать регистры букв, цифры, специальные символы и порядок их следования. Достаточно выбрать запоминающуюся основу и следовать простым советам создания крепких паролей.

Детские считалки

За основу пароля берём любой детский стишок или считалку. Желательно, чтобы она водилась лишь в ваших краях и не была общеизвестна. А лучше собственного сочинения! Хотя подойдут любые детские рифмы, главное, чтобы строки намертво засели с юных лет в вашей голове.

Пароль будет состоять из первых букв каждого слова. Причём буква будет писаться в верхнем регистре, если она является первой в предложении. Заменяем некоторые буквы похожими по написанию цифрами (например, «ч» на «4», «о» на «0», «з» на «3»). Если не хотите излишне запутываться с заменой букв на цифры, поищите считалку, уже содержащую в себе цифры. Не забываем о знаках препинания, разделяющих слова и предложения, - они пригодятся.

Пример:

Черепаха хвост поджала

И за зайцем побежала.

Оказалась впереди,

Кто не верит - выходи!

Заменяем буквы «ч», «з» и «о» на схожие цифры. Вторая, третья и четвёртая строчки начинаются с заглавных букв, и поэтому пишутся в верхнем регистре. Включаем четыре знака препинания. Разумеется, пишем русскими буквами, но на английской раскладке клавиатуры.

17-символьный пароль готов! Может быть, он и не идеален, так как содержит повторяющиеся знаки, последовательные строчные буквы и цифры. Но назвать его простым уж точно язык не повернётся.

Любимые изречения

Схема аналогична детским считалкам. Только за основу вы берёте понравившиеся и очень запомнившиеся фразы мыслителей, знаменитостей или киногероев. Вы можете несколько усложнить себе жизнь, заменив букву «ч» не на «4», а на «5», например. Запутывающих манёвров много не бывает!

Пример:

Я узнал, что у меня

Есть огромная семья:

Речка, поле и лесок,

В поле - каждый колосок…

Заменяем букву «ч» на «8», не забываем о верхнем регистре и знаках препинания.

Ze,8evTjc^H,g,bk,Dg-rr…

Жаргон и терминология

Подразумевается использование профессионального жаргона, понятного крайне узкому числу людей. Эти слова куда более далеки от обычного человека, нежели криминальные изречения, широко освещаемые на телеэкране и улицах любого города.

Например, можно использовать выписку из больницы или заковыристое медицинское определение.

Пример:

Циклопентанпергидрофенантрен - термин, состоящий из 28 букв. Длинновато получается, посему предлагаю выкинуть гласные буквы и разбавить оставшиеся согласные верхним регистром.

Памятные даты

Разумеется, ваш день рождения или день начала семейной жизни - это не самая удачная основа для пароля. Событие должно быть исключительной важности, и о нём должны знать только вы. К примеру, это может быть день, когда вы впервые съели жвачку, сбежали с урока или сломали каблук. Так как базис пароля будут составлять цифры, не лишним видится перемешивание их с буквами.

Пример:

22.10.1983 и 16.06.2011

Замените точки, разделяющие день, месяц и год, на любую букву, например маленькую английскую “ l” , которая очень похожа на довольно часто использующийся разделитель «/». Между датами проставим символ нижнего подчёркивания «_». Нули заменим на буквы «о».

Визуальный ключ

Используйте технику разблокировки смартфона и на вашей клавиатуре. Придумайте любую фигуру и «проведите» пальцем по её контурам.

Не забудьте пройтись по цифрам, изменить горизонтальное и вертикальное направление движения. И проявляйте, в отличие от меня, фантазию!

Заключение

Предложенные способы создания запоминающегося, но при этом вполне сложного для восприятия со стороны пароля могут быть изменены и скомбинированы по вашему усмотрению. Достаточно один раз обмозговать свой суперпароль, и можно без страха использовать его в присутствии постороннего человека.

А как вы выбираете себе пароль?

Одной из самых существенных проблем, связанных с обеспечением безопасности в организации являются пароли к учетным записям важных пользователей. Даже если вы тщательно спланируете и настроите параметры безопасности групповой политики, включая настройки брандмауэра в режиме повышенной безопасности, развернете антивирусное программное обеспечение и будете поддерживать в обновленном состоянии систему и антивирусное ПО, настроите политики IPSec, развернете сервера защиты доступа к сети, а у учетных записей ваших пользователей будут недостаточно сложные пароли, безопасность всей вашей компании может быть под угрозой.

Разумеется, вы можете, и даже должны, при помощи групповой политики задать ограничение по созданию сложных паролей, установить интервал для блокировки учетной записи в случае неправильного ввода пароля, а также настроить политики аудита для анализа неудачных попыток входа в систему. Но даже пароли, которые операционная система будет считать сложными (то есть длина пароля будет превышать определенное количество символов, пароль будет содержать символы верхнего, нижнего регистра, а также цифры), могут на самом деле оказаться уязвимыми и простыми для злоумышленников, которые будут их взламывать. Именно этот этап обеспечения безопасности вашей компании может оказаться для вас наиболее сложным, так как здесь ваше участие играет лишь посредственную роль, а любое халатное отношение со стороны ваших пользователей может летально сказаться на инфраструктуре всей компании. Другими словами, в этом случае вам нужно постараться заставить ваших же пользователей создавать безопасные пароли, запоминать их, периодически эти пароли менять, а также держать эти пароли при себе, что, по сути, может оказаться намного сложнее, чем спланировать инфраструктуру организации, а также развернуть и поддерживать в рабочем состоянии сервера с соответствующими серверными ролями.

В этой статье я немного расскажу о том по каким причинам какие пароли нельзя создавать, а также как именно нужно создавать пароли для своих учетных записей. Рассмотрим все по прядку.

Методы взлома паролей

К одному из наиболее распространенных методов атаки на любую инфраструктуру можно отнести взлом паролей пользователей, которые проходят проверку подлинности для того чтобы можно было получить доступ к внутренней сети организации. Соответственно, если злоумышленник получит доступ к учетной записи пользователя, у него будет возможность достучаться до каких-либо внутренних документов компании и к прочей защищенной информации. Помимо учетных записей пользователей для доступа к внутренней сети организации, также часто злоумышленники стараются взламывать аккаунты электронной почты, социальных сетей, блогов и прочего. Поэтому пользователям следует объяснить, что нельзя для всех своих учетных записей использовать одинаковый пароль, а уж тем более простой пароль.

В принципе, существует много методов взлома паролей, но в этой статье будут вкратце рассмотрены лишь основные методы, которые наиболее распространены в наше время. К этим методам можно отнести логическое угадывание, перебор паролей по словарю, метод грубой силы (или полный перебор), а также самый серьезный метод - использование человеческого фактора.

Логическое угадывание

Этот метод является самым простым, и начинают обычно именно с логического угадывания пароля. Например, злоумышленник может попробовать угадать пароль ваших пользователей, зная имя, фамилию вашего пользователя и, скажем, его год рождения. Например, если пользователь создаст пароль типа «Фамилия + год рождения» или логин, указанный в обратном порядке, можно особо не волноваться, такой пароль будет взломан через несколько минут.

Перебор паролей по словарю

Так как многие пользователи в качестве паролей любят указывать к какой-либо своей учетной записи одно слово, будь то название вулкана в Исландии или имя любимого кролика и, максимум, добавлять к такому паролю одну цифру, злоумышленники могут взломать такой пароль, используя заранее отобранные пароли, которые загружаются из специальных словарей. В такие словари обычно включаются слова из разных языков, которые могут использовать неопытные или безразличные к своей безопасности пользователи. Подбор пароля, используя данный метод, обычно не занимает много времени и злоумышленник сможет получить доступ к данным ваших пользователей буквально через несколько часов. А так как подобных словарей в просторах Интернета очень много, следует сразу объяснять пользователям, что им не следует использовать такие пароли, так как пострадать может не только их учетная запись в социальной сети, а и вся инфраструктура предприятия.

Еще одним методом, связанным с перебором по словарю, называется перебор по таблице хешированных паролей. Этот метод используется тогда, когда злоумышленник смог определить хеши паролей и ему остается лишь найти в базе данных пароль, который будет полностью соответствовать данному хешу.

Метод грубой силы

Метод грубой силы (brute force) или полный (прямой) перебор отличается от предыдущего метода тем, что при подборе пароля используется не определённый словарь, согласно которому можно подобрать простой пароль, а большое количество любых возможных комбинаций. В этом случае, как вы понимаете, все зависит лишь от сложности пароля и количества символов. Думаю, многие из вас видели следующую таблицу, исходя из которой, можно приблизительно оценить сложность создаваемых паролей, если учесть что в паролях будут только лишь буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду:

Количество знаков

Количество вариантов

Время перебора

менее секунды

менее секунды

менее секунды

2,821 109 9?1012

11 месяцев

1,015 599 5?1014

3,656 158 4?1015

1,316 217 0?1017

4,738 381 3?1018

1 505 615 лет

Соответственно, более-менее стойким паролем можно считать пароль, длина которого будет состоять не менее чем из восьми символов. Так как при написании этой статьи, основной задачей стояло рассмотрение методов создания стойких паролей, в ней не будут рассматриваться средства реализации перебора паролей методом грубой силы.

Использование человеческого фактора

Несмотря на то, что при использовании человеческого фактора не применяется какая либо технология, этот метод в большинстве случаев считается самым действенным и иногда даже самым быстрым, так как в этом случае злоумышленники получают пароли незаконным методом от самих пользователей, причем, последние об этом могут даже не подозревать. Прежде всего, при использовании этого метода получения пользовательских паролей злоумышленник обычно узнает имена сотрудников организации, которые он может, как знать изначально, так и найти на том же, скажем, веб-сайте компании, а уже после этого, согласно продуманному заранее сценарию злоумышленник может получить от пользователей практически любые данные. Методов получения пользовательских паролей, используя человеческий фактор, очень много. Вкратце рассмотрим основные способы:

· Фишинг . Является довольно распространенным методом получения от пользователей необходимой информации. Сам термин фишинг (phishing) происходит от английского слова fishing, что переводится как рыбная ловля и представляет собой вид мошенничества, основной задачей которого является получение доступа к конфиденциальным данным пользователей. Сама атака происходит следующим образом: пользователю на почтовый ящик приходит письмо, скажем, от банка, где пользователю предлагают, перейдя по предоставленной ссылке, в целях обеспечения безопасности сменить на сайте свой пароль. На самом деле, такая ссылка ведет на сайт хакера со страницей, которая очень похожа на страницу банка и при попытке смены своего пароля, пароль будет отправлен злоумышленнику;

· Заражение компьютеров средствами троянских коней . Как вы знаете, троянским конем называется вредоносная программа, которая распространяется злоумышленниками, при помощи которой он может получить доступ данным, в зависимости от того, какую он поставил перед собой задачу. В свою очередь, пользовательские пароли не являются исключениями;

· Кви про кво . Данный метод пошел от латинского выражения qui pro quo (одно вместо другого), что также обозначает недоразумение, возникшее в результате того, что одно лицо, вещь или понятие принято за другое. В случае с хищением паролей, этот способ подразумевает звонок злоумышленников в компанию. Злоумышленник может представиться техническим специалистом и узнать о уязвимостях, которые могут быть в организации и воспользоваться ими. Или же просто узнать пользовательский пароль по телефону;

· Претекстинг . Этот способ самый простой. По большому счету, используя данный метод хищения пароля, злоумышленник, может быть даже, в какой-то степени, далек от хикинга, так как в данном случае, выполняются действия, отработанные по заранее составленному претексту или, проще говоря, сценарию. Он может начать общаться с пользователем на каком-то веб-сайте, средствами переписки по электронной почте, UIM-мессенджерам и т.д. По вполне понятным причинам, данный метод может занять значительно больше времени, чем все указанные раньше, но, тем не менее, он тоже востребован.

Простейший метод хищения пароля изображен на следующей иллюстрации:

Создание сложных паролей

Скорее всего, вы все видели следующую картинку.

Здесь довольно-таки в простой и шуточной форме нарисовано, какие пароли можно создавать и как с такими паролями будут взаимодействовать ваши пользователи. Если честно, то с методом, который указан на картинке можно не согласиться, так как второй пароль может быть быстрее взломан, чем первый, хоть на это и уйдет у злоумышленника какое-то время.

Прежде всего, как я уже говорил в начале статьи, в любом случае вам нужно настраивать ограничения по созданию сложных паролей при помощи групповой политики, причем, привязывать такие политики следует не для какого-то конкретного подразделения, а для всего домена. Разумеется, настроив политики безопасности, вы предотвратите создание паролей типа «123456» или «qwerty», которые так любят указывать пользователи, пользовательские пароли могут быть все равно уязвимыми для хакеров.

Например, если у вас в отделе продаж есть пользователь Владимир, который родился 9-го числа какого-то месяца, его паролем вполне может быть что-то вроде «Vladimir9». Как видите, длина такого пароля девять символов, что, скорее всего, будет превышать предустановленную средствами групповой политики длину пароля. Помимо этого, в данном пароле есть буквы из разного регистра (ну негоже ведь, свое имя указывать с маленькой буквы) и в данном пароле есть цифры (в указанном случае, день рождения пользователя). Соответственно, пароль будет удовлетворять требованиям, указанным при помощи групповой политики, но взломать его можно буквально в считанные секунды.

Вам нужно постараться убедить своих пользователей создавать для любых своих учетных записей сложные пароли, создавать разные пароли для каждой учетной записи, а также хранить свои пароли у себя в памяти. Последние два момента являются наиболее сложными, так как большинство пользователей привыкло иметь один пароль для своей учетной записи в Active Directory, а также, хорошо, если так, иметь один пароль на почтовые ящики, социальные сети, трекреы, форумы и так далее. Если вы все таки заставили своих пользователей создать сложный пароль, обратите внимание на то, что многие любят записывать его на бумажке и клеить к своему монитору, на клавиатуру и т.п., что является недопустимым, так как это уже паролем назвать сложно.

Как создать сам пароль

Желательно, чтобы пользовательский пароль был не менее чем из 8 символов, причем, чтобы в пароле в произвольном порядке были написаны буквы латиницей в разных регистрах, пароль содержал цифры и, чтобы там еще были специальные символы. Если пароль создается для учетной записи, которая будет выполнять вход на сервер, то желательно создавать пароли, длина которых будет превышать 12 символов. В большинстве случаев, пользователи редко заморачиваются придумыванием таких паролей. Поэтому, вам нужно будет или вместо них придумывать пароли, что крайне неудобно, т.к. если у вас 20 пользователей, это займет какое-то время, но вы с этим справитесь, но если у вас более 100 пользователей, то на такое бессмысленное занятие уйдет целый день. А их ведь еще нужно периодически менять, т.к. ни один пароль не может быть совершенным.

Поэтому вы можете или направлять пользователей на сайты с генераторами паролей, например, на сайт http://genpas.narod.ru или на сайты с подобным функционалом. Таких сайтов на самом деле очень много. Также вы можете на своем внутреннем веб-сервере написать страницу, которая будет предоставлять такой же функционал, что тоже вряд ли займет много времени, даже если у вас нет навыков в веб-программировании. А о наличии такой страницы на сайте вы можете уведомить пользователей, скажем, при помощи официальной рассылки. Соответственно, вашим пользователям не нужно будет тратить время на то, чтобы придумать сложный пароль, а останется лишь его запомнить.

Также вы можете рассказать своим пользователям о простых сценариях, позволяющих создать сложный, но легко запоминающийся пароль. Различных интересных сценариев можно придумать сотни. Рассмотрим несколько таких сценариев.

1. Возьмите два русских слова - глагол и имя существительное. Например, слова «готовить» и «подсвечник». Добавьте произвольное число, которое будет разделено на две части, например, год рождения любимого писателя, скажем, 1966, а также возьмите любой специальный символ, пусть будет, например, знак вопроса. Теперь запишите все, что нашли ранее в следующем порядке: первое слово с большой буквы, первые две цифры из года рождения, знак вопроса, второе слово с большой буквы и последние две цифры. Должно получиться что-то в этом роде: «Готовить19?Подсвечник66». теперь наберем полученный пароль на английской раскладке. В результате, у вашего пользователя будет следующий пароль: «Ujnjdbnm19?Gjlcdtxybr66 ». В таком пароле получилось 23 знака, причем, подобрать его методом перебора по словарю нереально, а используя метод грубой силы у злоумышленника уйдет, мягко говоря, не один месяц.

2. Возьмите любую скороговорку, например, «В недрах тундры выдры в гетрах тырят в ведра ядра кедров» и возьмите дату рождения двоюродной тети пользователя, скажем, 29 октября 1957. Теперь запишите каждую первую букву каждого слова на английском языке, причем, запишите каждую вторую букву в верхнем регистре и между некоторыми словами проставляйте по одной цифре, а в конце пароля поставьте знак восклицания. Должно получиться следующее: «vN2tV9vG10tV19vY57k! ». Опять же, такой пароль подобрать будет очень сложно.

3. Возьмите любую строку самого любимого стихотворения, например, «Недаром помнит вся Россия про день Бородина!» и запишите по две буквы из каждого слова на английской раскладке, причем, для каждого нового слова укажите букву в верхнем регистре. В конце можете поставить день своего рождения. Например, в данном случае должно получиться следующее: «YtGjDcHjGhLt». получен еще один сложный пароль.

4. Возьмите сложное слово, которое вы помните, но чтобы это слово не часто использовалось в разговорной речи. Например, возьмем слово, которое стыдно не знать, а именно название вулкана, который извергался в Исландии в 2010 году, а именно: Эйяфьядлайёкюдль. В этом слове 16 букв, поэтому вставим после 8-й буквы год события, т.е. 2010 и напишем все слова, как и в предыдущих примерах на английской раскладке. Получим следующий сложный пароль: «”qzamzlk2010fq`r.lkm ».

Разных интересных сценариев можно еще придумать очень много. Самое главное то, что такие пароли не сложно запомнить и они считаются сложными.

Проверить сложность созданного пароля можно многими способами. Например, у компании Microsoft есть средство проверки паролей, которое позволит вам узнать, насколько надежным получился сгенерированный вами пароль. Для этого перейдите на страницу средства проверки паролей и в соответствующем текстовом поле введите свой пароль. Вы сразу получите уведомление, в котором будет указан тип сложности вашего пароля. Пример этого средства показан на следующей иллюстрации:

Заключение

В этой статье было рассказано о методах взлома пользовательских паролей, а также о том, как можно создать сложный для взлома пароль, но который будет довольно простым для запоминания. Я надеюсь, что при помощи указанных в этой статье четырех простых примеров у вас получится научить своих пользователей следить за сохранностью своих данных и создавать сложные пароли. А какие сценарии для генерирования сложных паролей применяете Вы?