Jak stworzyć i wymyślić silne hasło. Wskazówki dotyczące tworzenia haseł

4. Weź trudne słowo, które pamiętasz, ale które nie jest często używane w mowie potocznej. Weźmy na przykład słowo, którego wstyd jest nie znać, a mianowicie nazwę wulkanu, który wybuchł na Islandii w 2010 roku, a mianowicie: Eyjafjallajökull. W słowie tym jest 16 liter, więc rok wydarzenia wstawimy po ósmej literze, czyli: 2010 i wpisz wszystkie słowa, tak jak w poprzednich przykładach, w układzie angielskim. Otrzymujemy następujące złożone hasło: „ ”qzamzlk2010fq`r.lkm».

Można wymyślić wiele różnych ciekawych scenariuszy. Najważniejsze jest to, że takie hasła nie są trudne do zapamiętania i są uważane za złożone.

Istnieje wiele sposobów sprawdzenia złożoności utworzonego hasła. Na przykład firma Microsoft ma narzędzie do sprawdzania haseł, które informuje, jak silne jest wygenerowane hasło. Aby to zrobić, przejdź do strony Sprawdzanie hasła i wpisz swoje hasło w odpowiednim polu tekstowym. Natychmiast otrzymasz powiadomienie wskazujące stopień złożoności Twojego hasła. Przykład tego narzędzia pokazano na poniższej ilustracji:

Wniosek

W tym artykule omówiono metody łamania haseł użytkowników, a także sposoby tworzenia haseł trudnych do złamania, ale dość łatwych do zapamiętania. Mam nadzieję, że korzystając z czterech prostych przykładów w tym artykule, możesz nauczyć swoich użytkowników, jak chronić swoje dane i tworzyć silne hasła. Jakich skryptów używasz do generowania skomplikowanych haseł?

Większość atakujących nie zawraca sobie głowy wyrafinowanymi metodami kradzieży haseł. Biorą kombinacje łatwe do odgadnięcia. Około 1% wszystkich aktualnie istniejących haseł można odgadnąć w czterech próbach.

Jak to jest możliwe? Bardzo prosta. Próbujesz czterech najpopularniejszych kombinacji na świecie: hasło, 123456, 12345678, qwerty. Po takim przejściu otwiera się średnio 1% wszystkich „trumien”.

Załóżmy, że jesteś jednym z tych 99% użytkowników, których hasło nie jest takie proste. Nawet wtedy należy wziąć pod uwagę wydajność nowoczesnego oprogramowania hakerskiego.

John the Ripper to darmowy i publicznie dostępny program, który może sprawdzić miliony haseł na sekundę. Niektóre próbki specjalistycznego oprogramowania komercyjnego mają przepustowość 2,8 miliarda haseł na sekundę.

Początkowo programy hakerskie przeglądają listę statystycznie najczęstszych kombinacji, a następnie sięgają do pełnego słownika. Trendy dotyczące haseł użytkowników mogą z biegiem czasu nieznacznie się zmieniać, a zmiany te są brane pod uwagę podczas aktualizacji tych list.

Z biegiem czasu wszelkiego rodzaju serwisy i aplikacje internetowe postanowiły na siłę komplikować hasła tworzone przez użytkowników. Dodano wymagania, zgodnie z którymi hasło musi mieć określoną minimalną długość, zawierać cyfry, wielkie litery i znaki specjalne. Niektóre serwisy traktują to tak poważnie, że wymyślenie hasła, które zaakceptuje system, zajmuje naprawdę dużo czasu i czasu.

Kluczowym problemem jest to, że prawie każdy użytkownik nie generuje hasła rzeczywiście odpornego na odgadnięcie, a jedynie stara się spełnić minimalne wymagania systemu dotyczące kompozycji hasła.

Rezultatem są hasła w stylu hasło1, hasło123, hasło, PaSsWoRd, hasło! i niesamowicie nieprzewidywalne H@sło.

Wyobraź sobie, że musisz zmienić hasło Spidermana. Najprawdopodobniej będzie wyglądał jak $pider_Man1. Oryginalny? Tysiące ludzi zmieni to stosując ten sam lub bardzo podobny algorytm.

Jeśli atakujący zna te minimalne wymagania, sytuacja tylko się pogarsza. Z tego powodu narzucony wymóg tworzenia bardziej złożonych haseł nie zawsze zapewnia lepsze hasła, a często stwarza fałszywe poczucie zwiększonego bezpieczeństwa.

Im łatwiejsze jest hasło do zapamiętania, tym większe prawdopodobieństwo, że trafi ono do słowników programów crackujących. W efekcie okazuje się, że naprawdę silnego hasła po prostu nie da się zapamiętać, więc trzeba je gdzieś mieć.

Według ekspertów nawet w epoce cyfrowej ludzie nadal mogą polegać na kartce papieru z zapisanymi hasłami. Wygodnie jest trzymać taką prześcieradło w miejscu ukrytym przed wzrokiem ciekawskich, na przykład w torebce lub portfelu.

Arkusz haseł nie rozwiązuje jednak problemu. Długie hasła są nie tylko trudne do zapamiętania, ale także trudne do wprowadzenia. Sytuację pogarszają wirtualne klawiatury na urządzeniach mobilnych.

Wchodząc w interakcję z dziesiątkami usług i witryn, wielu użytkowników pozostawia ciąg identycznych haseł. Próbują używać tego samego hasła do każdej witryny, całkowicie ignorując ryzyko.

W takim przypadku niektóre witryny działają jak niania, zmuszając Cię do skomplikowania kombinacji. W rezultacie użytkownik po prostu nie może zrozumieć, w jaki sposób musiał zmodyfikować swoje standardowe pojedyncze hasło do tej witryny.

Skala problemu została w pełni uświadomiona w 2009 roku. Następnie, dzięki luce w zabezpieczeniach, hakerowi udało się ukraść bazę danych loginów i haseł firmy RockYou.com publikującej gry na Facebooku. Osoba atakująca umieściła bazę danych w domenie publicznej. Łącznie zawierało 32,5 mln rekordów z nazwami użytkowników i hasłami do kont. Przecieki zdarzały się już wcześniej, ale skala tego konkretnego wydarzenia pokazała cały obraz.

Najpopularniejszym hasłem na RockYou.com było 123456, którego użyło prawie 291 000 osób. Mężczyźni do 30. roku życia częściej preferowali tematykę seksualną i wulgaryzmy. Starsi ludzie obu płci często przy wyborze hasła zwracali się do jednego lub drugiego obszaru kulturowego. Na przykład Epsilon793 nie wydaje się taką złą opcją, z wyjątkiem tego, że ta kombinacja pojawiła się w Star Trek. Siedmiocyfrowy numer 8675309 był widziany wiele razy, ponieważ pojawił się w jednej z piosenek Tommy'ego Tutone.

W rzeczywistości utworzenie silnego hasła jest prostym zadaniem; wystarczy utworzyć kombinację losowych znaków.

Nie będziesz w stanie stworzyć w głowie idealnie losowej kombinacji matematycznej, ale nie musisz. Istnieją specjalne usługi, które generują naprawdę losowe kombinacje. Na przykład random.org może tworzyć takie hasła:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

To proste i eleganckie rozwiązanie, szczególnie dla tych, którzy korzystają z przechowywania haseł.

Niestety, większość użytkowników nadal używa prostych, słabych haseł, ignorując nawet zasadę „inne hasła dla każdej witryny”. Dla nich wygoda jest ważniejsza niż bezpieczeństwo.

Sytuacje, w których hasło może być zagrożone, można podzielić na 3 szerokie kategorie:

• Losowy, w którym znana Ci osoba próbuje poznać Twoje hasło na podstawie znanych jej informacji o Tobie. Często taki włamywacz chce po prostu zażartować, dowiedzieć się czegoś o Tobie lub spłatać Ci sprośnych figli.
• Masowe ataki, gdy ofiarą może stać się absolutnie każdy użytkownik niektórych usług. W tym przypadku wykorzystuje się specjalistyczne oprogramowanie. Do ataku wybierane są najmniej bezpieczne witryny, co pozwala na wprowadzenie wielu odmian hasła w krótkim czasie.
• Ukierunkowane, łącząc otrzymywanie sugestywnych wskazówek (jak w pierwszym przypadku) z wykorzystaniem specjalistycznego oprogramowania (jak w przypadku masowego ataku). Mówimy tutaj o próbie uzyskania naprawdę cennych informacji. Tylko wystarczająco długie losowe hasło pomoże Ci się zabezpieczyć, którego wybranie zajmie czas porównywalny z czasem trwania Twojego hasła.

Jak widać ofiarą może stać się absolutnie każdy. Stwierdzenia typu „nie ukradną mi hasła, bo nikt mnie nie potrzebuje” nie są trafne, ponieważ w podobną sytuację można wpaść zupełnie przez przypadek, przez przypadek, bez widocznej przyczyny.

Osoby posiadające cenne informacje, prowadzące działalność gospodarczą lub będące w konflikcie z kimś na tle finansowym (np. podział majątku podczas rozwodu, konkurencja w biznesie) powinny jeszcze poważniej podejść do ochrony hasłem.

W 2009 roku Twitter (w rozumieniu całego serwisu) został zhakowany tylko dlatego, że administrator użył słowa szczęście jako hasła. Haker przechwycił go i umieścił na stronie internetowej Digital Gangster, co doprowadziło do przejęcia kont Obamy, Britney Spears, Facebooka i Fox News.

Akronimy

Jak w każdej innej dziedzinie życia, zawsze musimy znaleźć kompromis pomiędzy maksymalnym bezpieczeństwem i maksymalną wygodą. Jak znaleźć złoty środek? Jaka strategia generowania haseł pozwoli Ci stworzyć mocne kombinacje, które łatwo zapamiętasz?

W tej chwili najlepszą kombinacją niezawodności i wygody jest konwersja frazy lub frazy na hasło.

Wybrany jest zestaw słów, który zawsze będziesz pamiętać, a hasło to kombinacja pierwszych liter każdego słowa. Na przykład Niech moc będzie z tobą zamienia się w Mtfbwy.

Ponieważ jednak najbardziej znane będą używane jako początkowe, programy ostatecznie otrzymają te akronimy na swoich listach. W rzeczywistości akronim zawiera tylko litery i dlatego jest obiektywnie mniej wiarygodny niż losowa kombinacja symboli.

Właściwy dobór frazy pomoże Ci pozbyć się pierwszego problemu. Po co zamieniać znane na całym świecie wyrażenie w akronim hasła? Prawdopodobnie pamiętasz pewne powiedzenia, które są istotne tylko w twoim bliskim kręgu. Załóżmy, że usłyszałeś bardzo zapadające w pamięć zdanie od barmana w lokalnym lokalu. Użyj tego.

Nadal jest mało prawdopodobne, że wygenerowany akronim hasła będzie unikalny. Problem z akronimami polega na tym, że różne wyrażenia mogą składać się ze słów rozpoczynających się od tych samych liter i ułożonych w tej samej kolejności. Statystycznie w różnych językach wzrasta częstotliwość występowania niektórych liter jako starterów wyrazów. Programy wezmą te czynniki pod uwagę, a skuteczność akronimów w wersji oryginalnej spadnie.

Metoda odwrotna

Rozwiązaniem może być metoda generacji odwrotnej. Tworzysz całkowicie losowe hasło w random.org, a następnie zamieniasz jego znaki w znaczącą, zapadającą w pamięć frazę.

Często usługi i witryny udostępniają użytkownikom hasła tymczasowe, które są całkowicie losowymi kombinacjami. Będziesz chciał je zmienić, ponieważ nie będziesz w stanie ich zapamiętać, ale jeśli przyjrzysz się trochę bliżej, stanie się oczywiste, że nie musisz pamiętać hasła. Weźmy na przykład inną opcję z random.org - RPM8t4ka.

Chociaż wydaje się to bez znaczenia, nasz mózg jest w stanie znaleźć pewne wzorce i powiązania nawet w takim chaosie. Na początek możesz zauważyć, że pierwsze trzy litery w nim są wielkie, a kolejne trzy małe. 8 to dwa razy (w języku angielskim dwa razy - t) 4. Przyjrzyj się trochę temu hasłu, a na pewno odnajdziesz własne skojarzenia z proponowanym zestawem liter i cyfr.

Jeśli potrafisz zapamiętać bezsensowne ciągi słów, użyj tego. Niech hasło zamieni się w obroty na minutę 8 utwór 4 katty. Każda konwersja, do której Twój mózg jest lepiej przystosowany, wystarczy.

Losowe hasło to złoty standard w technologii informacyjnej. Z definicji jest lepsze niż jakiekolwiek hasło stworzone przez człowieka.

Wadą akronimów jest to, że z biegiem czasu rozpowszechnienie takiej techniki zmniejszy jej skuteczność, a metoda odwrotna pozostanie równie niezawodna, nawet jeśli wszyscy ludzie na ziemi będą jej używać przez tysiąc lat.

Losowe hasło nie zostanie ujęte na liście popularnych kombinacji, a atakujący stosując metodę masowego ataku znajdzie takie hasło jedynie przy użyciu brutalnej siły.

Weźmy proste losowe hasło uwzględniające wielkie litery i cyfry - czyli 62 możliwe znaki na każdą pozycję. Jeśli ustawimy hasło na zaledwie 8 cyfr, otrzymamy 62^8 = 218 bilionów opcji.

Nawet jeśli liczba prób w danym okresie jest nieograniczona, najbardziej komercyjne, specjalistyczne oprogramowanie o przepustowości 2,8 miliarda haseł na sekundę będzie spędzać średnio 22 godziny na poszukiwaniu odpowiedniej kombinacji. Dla pewności do takiego hasła dodajemy tylko 1 dodatkowy znak - a jego złamanie zajmie wiele lat.

Losowe hasło nie jest niezniszczalne, ponieważ może zostać skradzione. Dostępnych jest wiele opcji, począwszy od czytania danych wejściowych z klawiatury po kamerę umieszczoną na ramieniu.

Haker może zaatakować samą usługę i uzyskać dane bezpośrednio z jej serwerów. W tej sytuacji nic nie zależy od użytkownika.

Pojedyncza, wiarygodna podstawa

Tak dotarliśmy do głównego punktu. Jaką taktykę losowych haseł powinieneś zastosować w prawdziwym życiu? Z punktu widzenia równowagi i wygody dobrze sprawdzi się „filozofia jednego silnego hasła”.

Zasada jest taka, że ​​korzystasz z tej samej podstawy – superbezpiecznego hasła (jego odmian) w najważniejszych dla Ciebie usługach i witrynach.

Każdy może zapamiętać jedną długą i złożoną kombinację.

Nick Berry, konsultant ds. bezpieczeństwa informacji, dopuszcza tę zasadę, pod warunkiem, że hasło będzie bardzo dobrze chronione.

Niedozwolona jest obecność złośliwego oprogramowania na komputerze, z którego wprowadzasz hasło. Niedozwolone jest używanie tego samego hasła do mniej ważnych i rozrywkowych witryn - wystarczą im prostsze hasła, ponieważ włamanie się na konto tutaj nie pociągnie za sobą żadnych fatalnych konsekwencji.

Oczywiste jest, że niezawodny fundament należy w jakiś sposób zmodyfikować dla każdej witryny. W prosty sposób możesz dodać jedną literę na początku, aby zakończyć nazwę witryny lub usługi. Jeśli wrócimy do tego losowego hasła RPM8t4ka, to w przypadku logowania na Facebooku zmieni się ono na kRPM8t4ka.

Osoba atakująca, która zobaczy takie hasło, nie będzie w stanie zrozumieć, w jaki sposób generowane jest hasło do Twojego konta. Problemy zaczną się, jeśli ktoś uzyska dostęp do dwóch lub więcej wygenerowanych w ten sposób haseł.

Sekretne pytanie

Niektórzy porywacze całkowicie ignorują hasła. Działają w imieniu właściciela konta i symulują sytuację, w której zapomniałeś hasła i potrzebujesz go w ramach pytania zabezpieczającego. W takim scenariuszu może on na własną prośbę zmienić hasło, a prawdziwy właściciel straci dostęp do swojego konta.

W 2008 roku ktoś uzyskał dostęp do poczty elektronicznej Sarah Palin, gubernator Alaski, wówczas także kandydatki na prezydenta USA. Włamywacz odpowiedział na tajne pytanie, które brzmiało tak: „Gdzie poznałaś swojego męża?”

Po 4 latach Mitt Romney, który był wówczas także kandydatem na prezydenta USA, stracił kilka kont w różnych serwisach. Ktoś odpowiedział na pytanie zabezpieczające dotyczące imienia zwierzaka Mitta Romneya.

Już odgadłeś, o co chodzi.

Nie możesz używać publicznych i łatwych do odgadnięcia danych jako tajnego pytania i odpowiedzi.

Nie chodzi nawet o to, czy informacje te można ostrożnie wydobyć z Internetu lub od bliskich współpracowników. Odpowiedzi na pytania w stylu „imię zwierzęcia”, „ulubiona drużyna hokejowa” i tak dalej są doskonale wybrane z odpowiednich słowników popularnych opcji.

Jako opcję tymczasową możesz zastosować taktykę absurdalnej odpowiedzi. Mówiąc najprościej, odpowiedź nie powinna mieć nic wspólnego z pytaniem ochronnym. Nazwisko panieńskie matki? Difenhydramina. Nazwa zwierzaka? 1991.

Jednakże taka technika, jeśli stanie się powszechna, zostanie uwzględniona w odpowiednich programach. Absurdalne odpowiedzi często mają charakter stereotypowy, to znaczy, że niektóre frazy będą pojawiać się znacznie częściej niż inne.

Tak naprawdę nie ma nic złego w używaniu prawdziwych odpowiedzi, wystarczy mądrze wybrać pytanie. Jeśli pytanie jest niestandardowe, a odpowiedź na nie jest znana tylko Tobie i nie można jej odgadnąć po trzech próbach, to wszystko jest w porządku. Zaletą prawdziwej odpowiedzi jest to, że z czasem jej nie zapomnisz.

SZPILKA

Osobisty numer identyfikacyjny (PIN) to tani zamek, który nasz . Nikt nie zadaje sobie trudu stworzenia bardziej niezawodnej kombinacji przynajmniej tych czterech cyfr.

Teraz stój. Już teraz. Już teraz, nie czytając kolejnego akapitu, spróbuj odgadnąć najpopularniejszy kod PIN. Gotowy?

Nick Berry szacuje, że 11% populacji USA używa kombinacji 1234 jako kodu PIN (jeśli można ją samodzielnie zmienić).

Hakerzy nie zwracają uwagi na kody PIN, gdyż bez fizycznej obecności karty kod jest bezużyteczny (może to częściowo usprawiedliwiać krótką długość kodu).

Berry wziął listy haseł, które pojawiły się po wyciekach w sieci, a które były kombinacjami czterech cyfr. Najprawdopodobniej osoba posługująca się hasłem 1967 wybrała je nie bez powodu. Drugim najpopularniejszym PIN-em jest 1111, przy czym 6% osób preferuje ten kod. Na trzecim miejscu jest 0000 (2%).

Załóżmy, że osoba znająca te informacje ma w rękach informacje kogoś innego. Trzy próby, zanim karta zostanie zablokowana. Prosta matematyka pozwala obliczyć, że ta osoba ma 19% szans na odgadnięcie PIN-u, jeśli wprowadzi kolejno 1234, 1111 i 0000.

Pewnie dlatego zdecydowana większość banków samodzielnie ustala kody PIN do wydanych kart plastikowych.

Jednak wielu zabezpiecza smartfony kodem PIN i tutaj obowiązuje następująca ocena popularności: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Często PIN oznacza rok (rok urodzenia lub datę historyczną).

Wiele osób lubi tworzyć PIN-y w postaci powtarzających się par liczb (szczególnie popularne są pary, w których pierwsza i druga cyfra różnią się o jeden).

Klawiatury numeryczne urządzeń mobilnych wyświetlają u góry kombinacje takie jak 2580 - aby je wpisać, wystarczy wykonać proste przejście z góry na dół pośrodku.

W Korei liczba 1004 jest zgodna ze słowem „anioł”, co sprawia, że ​​to połączenie jest tam dość popularne.

Konkluzja

1. Wejdź na stronę random.org i utwórz 5–10 haseł kandydatów.
2. Wybierz hasło, które możesz zamienić w zapadające w pamięć zdanie.
3. Użyj tego wyrażenia, aby zapamiętać swoje hasło.

Większość atakujących nie zawraca sobie głowy wyrafinowanymi metodami kradzieży haseł. Biorą kombinacje łatwe do odgadnięcia. Około 1% wszystkich aktualnie istniejących haseł można odgadnąć w czterech próbach.

Jak to jest możliwe? Bardzo prosta. Próbujesz czterech najpopularniejszych kombinacji na świecie: hasło, 123456, 12345678, qwerty. Po takim przejściu otwiera się średnio 1% wszystkich „trumien”.

Załóżmy, że jesteś jednym z tych 99% użytkowników, których hasło nie jest takie proste. Nawet wtedy należy wziąć pod uwagę wydajność nowoczesnego oprogramowania hakerskiego.

John the Ripper to darmowy i publicznie dostępny program, który może sprawdzić miliony haseł na sekundę. Niektóre próbki specjalistycznego oprogramowania komercyjnego mają przepustowość 2,8 miliarda haseł na sekundę.

Początkowo programy hakerskie przeglądają listę statystycznie najczęstszych kombinacji, a następnie sięgają do pełnego słownika. Trendy dotyczące haseł użytkowników mogą z biegiem czasu nieznacznie się zmieniać, a zmiany te są brane pod uwagę podczas aktualizacji tych list.

Z biegiem czasu wszelkiego rodzaju serwisy i aplikacje internetowe postanowiły na siłę komplikować hasła tworzone przez użytkowników. Dodano wymagania, zgodnie z którymi hasło musi mieć określoną minimalną długość, zawierać cyfry, wielkie litery i znaki specjalne. Niektóre serwisy traktują to tak poważnie, że wymyślenie hasła, które zaakceptuje system, zajmuje naprawdę dużo czasu i czasu.

Kluczowym problemem jest to, że prawie każdy użytkownik nie generuje hasła rzeczywiście odpornego na odgadnięcie, a jedynie stara się spełnić minimalne wymagania systemu dotyczące kompozycji hasła.

Rezultatem są hasła w stylu hasło1, hasło123, hasło, PaSsWoRd, hasło! i niesamowicie nieprzewidywalne H@sło.

Wyobraź sobie, że musisz zmienić hasło Spidermana. Najprawdopodobniej będzie wyglądał jak $pider_Man1. Oryginalny? Tysiące ludzi zmieni to stosując ten sam lub bardzo podobny algorytm.

Jeśli atakujący zna te minimalne wymagania, sytuacja tylko się pogarsza. Z tego powodu narzucony wymóg tworzenia bardziej złożonych haseł nie zawsze zapewnia lepsze hasła, a często stwarza fałszywe poczucie zwiększonego bezpieczeństwa.

Im łatwiejsze jest hasło do zapamiętania, tym większe prawdopodobieństwo, że trafi ono do słowników programów crackujących. W efekcie okazuje się, że naprawdę silnego hasła po prostu nie da się zapamiętać, więc trzeba je gdzieś mieć.

Według ekspertów nawet w epoce cyfrowej ludzie nadal mogą polegać na kartce papieru z zapisanymi hasłami. Wygodnie jest trzymać taką prześcieradło w miejscu ukrytym przed wzrokiem ciekawskich, na przykład w torebce lub portfelu.

Arkusz haseł nie rozwiązuje jednak problemu. Długie hasła są nie tylko trudne do zapamiętania, ale także trudne do wprowadzenia. Sytuację pogarszają wirtualne klawiatury na urządzeniach mobilnych.

Wchodząc w interakcję z dziesiątkami usług i witryn, wielu użytkowników pozostawia ciąg identycznych haseł. Próbują używać tego samego hasła do każdej witryny, całkowicie ignorując ryzyko.

W takim przypadku niektóre witryny działają jak niania, zmuszając Cię do skomplikowania kombinacji. W rezultacie użytkownik po prostu nie może zrozumieć, w jaki sposób musiał zmodyfikować swoje standardowe pojedyncze hasło do tej witryny.

Skala problemu została w pełni uświadomiona w 2009 roku. Następnie, dzięki luce w zabezpieczeniach, hakerowi udało się ukraść bazę danych loginów i haseł firmy RockYou.com publikującej gry na Facebooku. Osoba atakująca umieściła bazę danych w domenie publicznej. Łącznie zawierało 32,5 mln rekordów z nazwami użytkowników i hasłami do kont. Przecieki zdarzały się już wcześniej, ale skala tego konkretnego wydarzenia pokazała cały obraz.

Najpopularniejszym hasłem na RockYou.com było 123456, którego użyło prawie 291 000 osób. Mężczyźni do 30. roku życia częściej preferowali tematykę seksualną i wulgaryzmy. Starsi ludzie obu płci często przy wyborze hasła zwracali się do jednego lub drugiego obszaru kulturowego. Na przykład Epsilon793 nie wydaje się taką złą opcją, z wyjątkiem tego, że ta kombinacja pojawiła się w Star Trek. Siedmiocyfrowy numer 8675309 był widziany wiele razy, ponieważ pojawił się w jednej z piosenek Tommy'ego Tutone.

W rzeczywistości utworzenie silnego hasła jest prostym zadaniem; wystarczy utworzyć kombinację losowych znaków.

Nie będziesz w stanie stworzyć w głowie idealnie losowej kombinacji matematycznej, ale nie musisz. Istnieją specjalne usługi, które generują naprawdę losowe kombinacje. Na przykład random.org może tworzyć takie hasła:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

To proste i eleganckie rozwiązanie, szczególnie dla tych, którzy korzystają z przechowywania haseł.

Niestety, większość użytkowników nadal używa prostych, słabych haseł, ignorując nawet zasadę „inne hasła dla każdej witryny”. Dla nich wygoda jest ważniejsza niż bezpieczeństwo.

Sytuacje, w których hasło może być zagrożone, można podzielić na 3 szerokie kategorie:

• Losowy, w którym znana Ci osoba próbuje poznać Twoje hasło na podstawie znanych jej informacji o Tobie. Często taki włamywacz chce po prostu zażartować, dowiedzieć się czegoś o Tobie lub spłatać Ci sprośnych figli.
• Masowe ataki, gdy ofiarą może stać się absolutnie każdy użytkownik niektórych usług. W tym przypadku wykorzystuje się specjalistyczne oprogramowanie. Do ataku wybierane są najmniej bezpieczne witryny, co pozwala na wprowadzenie wielu odmian hasła w krótkim czasie.
• Ukierunkowane, łącząc otrzymywanie sugestywnych wskazówek (jak w pierwszym przypadku) z wykorzystaniem specjalistycznego oprogramowania (jak w przypadku masowego ataku). Mówimy tutaj o próbie uzyskania naprawdę cennych informacji. Tylko wystarczająco długie losowe hasło pomoże Ci się zabezpieczyć, którego wybranie zajmie czas porównywalny z czasem trwania Twojego hasła.

Jak widać ofiarą może stać się absolutnie każdy. Stwierdzenia typu „nie ukradną mi hasła, bo nikt mnie nie potrzebuje” nie są trafne, ponieważ w podobną sytuację można wpaść zupełnie przez przypadek, przez przypadek, bez widocznej przyczyny.

Osoby posiadające cenne informacje, prowadzące działalność gospodarczą lub będące w konflikcie z kimś na tle finansowym (np. podział majątku podczas rozwodu, konkurencja w biznesie) powinny jeszcze poważniej podejść do ochrony hasłem.

W 2009 roku Twitter (w rozumieniu całego serwisu) został zhakowany tylko dlatego, że administrator użył słowa szczęście jako hasła. Haker przechwycił go i umieścił na stronie internetowej Digital Gangster, co doprowadziło do przejęcia kont Obamy, Britney Spears, Facebooka i Fox News.

Akronimy

Jak w każdej innej dziedzinie życia, zawsze musimy znaleźć kompromis pomiędzy maksymalnym bezpieczeństwem i maksymalną wygodą. Jak znaleźć złoty środek? Jaka strategia generowania haseł pozwoli Ci stworzyć mocne kombinacje, które łatwo zapamiętasz?

W tej chwili najlepszą kombinacją niezawodności i wygody jest konwersja frazy lub frazy na hasło.

Wybrany jest zestaw słów, który zawsze będziesz pamiętać, a hasło to kombinacja pierwszych liter każdego słowa. Na przykład Niech moc będzie z tobą zamienia się w Mtfbwy.

Ponieważ jednak najbardziej znane będą używane jako początkowe, programy ostatecznie otrzymają te akronimy na swoich listach. W rzeczywistości akronim zawiera tylko litery i dlatego jest obiektywnie mniej wiarygodny niż losowa kombinacja symboli.

Właściwy dobór frazy pomoże Ci pozbyć się pierwszego problemu. Po co zamieniać znane na całym świecie wyrażenie w akronim hasła? Prawdopodobnie pamiętasz pewne powiedzenia, które są istotne tylko w twoim bliskim kręgu. Załóżmy, że usłyszałeś bardzo zapadające w pamięć zdanie od barmana w lokalnym lokalu. Użyj tego.

Nadal jest mało prawdopodobne, że wygenerowany akronim hasła będzie unikalny. Problem z akronimami polega na tym, że różne wyrażenia mogą składać się ze słów rozpoczynających się od tych samych liter i ułożonych w tej samej kolejności. Statystycznie w różnych językach wzrasta częstotliwość występowania niektórych liter jako starterów wyrazów. Programy wezmą te czynniki pod uwagę, a skuteczność akronimów w wersji oryginalnej spadnie.

Metoda odwrotna

Rozwiązaniem może być metoda generacji odwrotnej. Tworzysz całkowicie losowe hasło w random.org, a następnie zamieniasz jego znaki w znaczącą, zapadającą w pamięć frazę.

Często usługi i witryny udostępniają użytkownikom hasła tymczasowe, które są całkowicie losowymi kombinacjami. Będziesz chciał je zmienić, ponieważ nie będziesz w stanie ich zapamiętać, ale jeśli przyjrzysz się trochę bliżej, stanie się oczywiste, że nie musisz pamiętać hasła. Weźmy na przykład inną opcję z random.org - RPM8t4ka.

Chociaż wydaje się to bez znaczenia, nasz mózg jest w stanie znaleźć pewne wzorce i powiązania nawet w takim chaosie. Na początek możesz zauważyć, że pierwsze trzy litery w nim są wielkie, a kolejne trzy małe. 8 to dwa razy (w języku angielskim dwa razy - t) 4. Przyjrzyj się trochę temu hasłu, a na pewno odnajdziesz własne skojarzenia z proponowanym zestawem liter i cyfr.

Jeśli potrafisz zapamiętać bezsensowne ciągi słów, użyj tego. Niech hasło zamieni się w obroty na minutę 8 utwór 4 katty. Każda konwersja, do której Twój mózg jest lepiej przystosowany, wystarczy.

Losowe hasło to złoty standard w technologii informacyjnej. Z definicji jest lepsze niż jakiekolwiek hasło stworzone przez człowieka.

Wadą akronimów jest to, że z biegiem czasu rozpowszechnienie takiej techniki zmniejszy jej skuteczność, a metoda odwrotna pozostanie równie niezawodna, nawet jeśli wszyscy ludzie na ziemi będą jej używać przez tysiąc lat.

Losowe hasło nie zostanie ujęte na liście popularnych kombinacji, a atakujący stosując metodę masowego ataku znajdzie takie hasło jedynie przy użyciu brutalnej siły.

Weźmy proste losowe hasło uwzględniające wielkie litery i cyfry - czyli 62 możliwe znaki na każdą pozycję. Jeśli ustawimy hasło na zaledwie 8 cyfr, otrzymamy 62^8 = 218 bilionów opcji.

Nawet jeśli liczba prób w danym okresie jest nieograniczona, najbardziej komercyjne, specjalistyczne oprogramowanie o przepustowości 2,8 miliarda haseł na sekundę będzie spędzać średnio 22 godziny na poszukiwaniu odpowiedniej kombinacji. Dla pewności do takiego hasła dodajemy tylko 1 dodatkowy znak - a jego złamanie zajmie wiele lat.

Losowe hasło nie jest niezniszczalne, ponieważ może zostać skradzione. Dostępnych jest wiele opcji, począwszy od czytania danych wejściowych z klawiatury po kamerę umieszczoną na ramieniu.

Haker może zaatakować samą usługę i uzyskać dane bezpośrednio z jej serwerów. W tej sytuacji nic nie zależy od użytkownika.

Pojedyncza, wiarygodna podstawa

Tak dotarliśmy do głównego punktu. Jaką taktykę losowych haseł powinieneś zastosować w prawdziwym życiu? Z punktu widzenia równowagi i wygody dobrze sprawdzi się „filozofia jednego silnego hasła”.

Zasada jest taka, że ​​korzystasz z tej samej podstawy – superbezpiecznego hasła (jego odmian) w najważniejszych dla Ciebie usługach i witrynach.

Każdy może zapamiętać jedną długą i złożoną kombinację.

Nick Berry, konsultant ds. bezpieczeństwa informacji, dopuszcza tę zasadę, pod warunkiem, że hasło będzie bardzo dobrze chronione.

Niedozwolona jest obecność złośliwego oprogramowania na komputerze, z którego wprowadzasz hasło. Niedozwolone jest używanie tego samego hasła do mniej ważnych i rozrywkowych witryn - wystarczą im prostsze hasła, ponieważ włamanie się na konto tutaj nie pociągnie za sobą żadnych fatalnych konsekwencji.

Oczywiste jest, że niezawodny fundament należy w jakiś sposób zmodyfikować dla każdej witryny. W prosty sposób możesz dodać jedną literę na początku, aby zakończyć nazwę witryny lub usługi. Jeśli wrócimy do tego losowego hasła RPM8t4ka, to w przypadku logowania na Facebooku zmieni się ono na kRPM8t4ka.

Osoba atakująca, która zobaczy takie hasło, nie będzie w stanie zrozumieć, w jaki sposób generowane jest hasło do Twojego konta. Problemy zaczną się, jeśli ktoś uzyska dostęp do dwóch lub więcej wygenerowanych w ten sposób haseł.

Sekretne pytanie

Niektórzy porywacze całkowicie ignorują hasła. Działają w imieniu właściciela konta i symulują sytuację, w której zapomniałeś hasła i potrzebujesz go w ramach pytania zabezpieczającego. W takim scenariuszu może on na własną prośbę zmienić hasło, a prawdziwy właściciel straci dostęp do swojego konta.

W 2008 roku ktoś uzyskał dostęp do poczty elektronicznej Sarah Palin, gubernator Alaski, wówczas także kandydatki na prezydenta USA. Włamywacz odpowiedział na tajne pytanie, które brzmiało tak: „Gdzie poznałaś swojego męża?”

Po 4 latach Mitt Romney, który był wówczas także kandydatem na prezydenta USA, stracił kilka kont w różnych serwisach. Ktoś odpowiedział na pytanie zabezpieczające dotyczące imienia zwierzaka Mitta Romneya.

Już odgadłeś, o co chodzi.

Nie możesz używać publicznych i łatwych do odgadnięcia danych jako tajnego pytania i odpowiedzi.

Nie chodzi nawet o to, czy informacje te można ostrożnie wydobyć z Internetu lub od bliskich współpracowników. Odpowiedzi na pytania w stylu „imię zwierzęcia”, „ulubiona drużyna hokejowa” i tak dalej są doskonale wybrane z odpowiednich słowników popularnych opcji.

Jako opcję tymczasową możesz zastosować taktykę absurdalnej odpowiedzi. Mówiąc najprościej, odpowiedź nie powinna mieć nic wspólnego z pytaniem ochronnym. Nazwisko panieńskie matki? Difenhydramina. Nazwa zwierzaka? 1991.

Jednakże taka technika, jeśli stanie się powszechna, zostanie uwzględniona w odpowiednich programach. Absurdalne odpowiedzi często mają charakter stereotypowy, to znaczy, że niektóre frazy będą pojawiać się znacznie częściej niż inne.

Tak naprawdę nie ma nic złego w używaniu prawdziwych odpowiedzi, wystarczy mądrze wybrać pytanie. Jeśli pytanie jest niestandardowe, a odpowiedź na nie jest znana tylko Tobie i nie można jej odgadnąć po trzech próbach, to wszystko jest w porządku. Zaletą prawdziwej odpowiedzi jest to, że z czasem jej nie zapomnisz.

SZPILKA

Osobisty numer identyfikacyjny (PIN) to tani zamek, który nasz . Nikt nie zadaje sobie trudu stworzenia bardziej niezawodnej kombinacji przynajmniej tych czterech cyfr.

Teraz stój. Już teraz. Już teraz, nie czytając kolejnego akapitu, spróbuj odgadnąć najpopularniejszy kod PIN. Gotowy?

Nick Berry szacuje, że 11% populacji USA używa kombinacji 1234 jako kodu PIN (jeśli można ją samodzielnie zmienić).

Hakerzy nie zwracają uwagi na kody PIN, gdyż bez fizycznej obecności karty kod jest bezużyteczny (może to częściowo usprawiedliwiać krótką długość kodu).

Berry wziął listy haseł, które pojawiły się po wyciekach w sieci, a które były kombinacjami czterech cyfr. Najprawdopodobniej osoba posługująca się hasłem 1967 wybrała je nie bez powodu. Drugim najpopularniejszym PIN-em jest 1111, przy czym 6% osób preferuje ten kod. Na trzecim miejscu jest 0000 (2%).

Załóżmy, że osoba znająca te informacje ma w rękach informacje kogoś innego. Trzy próby, zanim karta zostanie zablokowana. Prosta matematyka pozwala obliczyć, że ta osoba ma 19% szans na odgadnięcie PIN-u, jeśli wprowadzi kolejno 1234, 1111 i 0000.

Pewnie dlatego zdecydowana większość banków samodzielnie ustala kody PIN do wydanych kart plastikowych.

Jednak wielu zabezpiecza smartfony kodem PIN i tutaj obowiązuje następująca ocena popularności: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Często PIN oznacza rok (rok urodzenia lub datę historyczną).

Wiele osób lubi tworzyć PIN-y w postaci powtarzających się par liczb (szczególnie popularne są pary, w których pierwsza i druga cyfra różnią się o jeden).

Klawiatury numeryczne urządzeń mobilnych wyświetlają u góry kombinacje takie jak 2580 - aby je wpisać, wystarczy wykonać proste przejście z góry na dół pośrodku.

W Korei liczba 1004 jest zgodna ze słowem „anioł”, co sprawia, że ​​to połączenie jest tam dość popularne.

Konkluzja

1. Wejdź na stronę random.org i utwórz 5–10 haseł kandydatów.
2. Wybierz hasło, które możesz zamienić w zapadające w pamięć zdanie.
3. Użyj tego wyrażenia, aby zapamiętać swoje hasło.

Wymaganie rejestracji i użycia hasła w celu uzyskania dostępu do konta. E-mail, komunikatory internetowe, konto osobiste dostawcy Internetu, czaty, fora, inne strony i to jest minimum. W tym artykule postaramy się dowiedzieć, jak wymyślić hasła do wszystkich tych niezliczonych usług.

Rejestrując się na nowej stronie internetowej, często zatrzymujemy się i zastanawiamy, kiedy widzimy pole do wpisania hasła. Niemal idealnym sposobem na utworzenie silnego hasła byłoby wygenerowanie losowego hasła za pomocą specjalnego programu, takiego jak . Jednak takie hasła są trudne do zapamiętania, co oznacza, że ​​należy je zapisać i gdzieś przechowywać. Ta opcja nie jest odpowiednia dla niektórych zwykłych użytkowników. Nawet jeśli użyjesz metody programowej do tworzenia i przechowywania haseł, nadal będziesz musiał pamiętać niektóre hasła.

Tworząc hasło ręcznie, musisz przestrzegać kilku zasad:

• Nie można używać prostych kombinacji symboli i liczb. Na przykład hasła 123, 321, 123456, qwerty, asdfg i inne nie są odpowiednie.
• Nie można go używać podczas tworzenia hasła (imiona krewnych, zwierzęta, daty urodzenia, numery telefonów, adresy, kody pocztowe itp.). Na przykład hasła Masza, Sasha21, Vasya02071988 i inne nie są odpowiednie.
• Nie używaj haseł, które można odgadnąć ze słownika popularnych haseł. Na przykład hasła love, cat, alfa, Samsung, mercedes, yasterva i inne, a także ich warianty i kombinacje nie są odpowiednie.
• Nie używaj haseł krótszych niż 10 znaków.
• Hasło musi składać się z dużych i małych liter, cyfr i znaków specjalnych.
• Wymyślając hasła, użyj swojej wyobraźni i nie myśl stereotypami. Komputer, który odgadnie Twoje hasło, jest dobry z matematyki, ale nie potrafi myśleć ani być kreatywny.

Istnieje wiele sposobów na wymyślenie prostego i stosunkowo silnego hasła. Przyjrzymy się jednej z tych metod.

Jak wymyślić hasło

Pierwszą rzeczą, którą musimy zrobić, to wymyślić frazę kluczową. Idealną opcją byłoby unikalne nonsensowne zdanie, które jest łatwe do zapamiętania. Na przykład: kosmiczne karaluchy. Można także wykorzystać frazy z mało popularnych piosenek i wierszy.

• Nagrywanie rosyjskiej frazy w układzie angielskim.
• Zapisz zdanie od tyłu.
• Zastępowanie liter ich wizualnymi odpowiednikami („a” - „@”, „i” - „!”, „o” - „()” itp.).
• Używanie kilku pierwszych znaków każdego słowa.
• Usuwanie sparowanych/niesparowanych postaci.
• Usuwanie samogłosek/spółgłosek z frazy.
• Dodawanie znaków specjalnych i cyfr.

Możesz użyć kilku z tych metod, aby zamienić frazę kluczową w prawie bezsensowny ciąg znaków. Idealną opcją byłoby jednak stworzenie własnej, unikalnej metody „szyfrowania” frazy kluczowej.

Na przykład, korzystając z kilku metod szablonowych „ ”, możesz uzyskać następujące hasło:

kosmiczne karaluchy– użyj pierwszych 4 znaków z każdego słowa – kosmtara – napisz w układzie angielskim – rjcvnfhf – pisz wielką literą i dodaj znaki specjalne oraz losową liczbę – Rjcvnfhf@955

W rezultacie otrzymaliśmy długie i dość złożone hasło, którego nie można obliczyć na podstawie danych osobowych jego właściciela, ale można je łatwo odzyskać z pamięci. Po sprawdzeniu siły hasła za pomocą usługi otrzymujemy wynik „bardzo silny”.

Na zakończenie jeszcze raz przypominam, że wymyślając hasło trzeba użyć wyobraźni i umiejętności nieszablonowego myślenia. Korzystając z tej przewagi nad „głupimi” komputerami, możesz tworzyć hasła, które będą dla nich zbyt trudne.

Tylko na pierwszy rzut oka nieprzeniknione hasła nie zawierają logicznej struktury i wyglądają jak gobbledygook. Skomplikowane hasła są takie tylko dla tych, którzy nie znają przepisu na ich tworzenie. Nie musisz pamiętać o wielkości liter, cyfr, znaków specjalnych i ich kolejności. Wszystko, co musisz zrobić, to wybrać zapadające w pamięć hasło i postępować zgodnie z prostymi wskazówkami dotyczącymi tworzenia silnych haseł.

Kołysanki

Za podstawę hasła przyjmujemy dowolną rymowankę dziecięcą lub wyliczankę. Wskazane jest, aby występował tylko w Twojej okolicy i nie był powszechnie znany. I lepsze niż Twoja własna kompozycja! Chociaż wystarczą wszelkie rymy dla dzieci, najważniejsze jest to, że linie mocno utknęły w głowie od najmłodszych lat.

Hasło będzie składać się z pierwszych liter każdego słowa. Co więcej, litera będzie napisana wielką literą, jeśli będzie pierwsza w zdaniu. Niektóre litery zastępujemy cyframi o podobnej pisowni (np. „h” na „4”, „o” na „0”, „z” na „3”). Jeśli nie chcesz się zbytnio pomylić z zastępowaniem liter cyframi, poszukaj rymowanki liczącej, która zawiera już cyfry. Nie zapomnij o znakach interpunkcyjnych oddzielających słowa i zdania - przydadzą się.

Przykład:

Żółw ma ogon między nogami

I pobiegła za zającem.

Wyprzedziłem

Kto nie wierzy – wyjdź!

Zastępujemy litery „h”, „z” i „o” podobnymi cyframi. Drugi, trzeci i czwarty wiersz rozpoczynają się dużymi literami i dlatego są pisane wielkimi literami. Umieść cztery znaki interpunkcyjne. Oczywiście piszemy rosyjskimi literami, ale na angielskim układzie klawiatury.

17-znakowe hasło jest gotowe! Może nie być idealny, ponieważ zawiera powtarzające się znaki oraz kolejne małe litery i cyfry. Ale nazwanie tego prostym z pewnością jest trudne.

Ulubione powiedzenia

Schemat jest podobny do rymowanek dla dzieci. Tylko jako podstawę bierzesz swoje ulubione i bardzo zapadające w pamięć frazy myślicieli, celebrytów czy bohaterów filmowych. Możesz nieco skomplikować swoje życie, zastępując literę „h” nie „4”, ale na przykład „5”. Zagmatwanych manewrów nigdy nie jest za dużo!

Przykład:

Dowiedziałem się, że mam

Jest ogromna rodzina:

Rzeka, pole i las,

Na polu - każdy kłosek...

Zamień literę „h” na „8”, nie zapomnij o wielkich literach i znakach interpunkcyjnych.

Ze,8evTjc^H,g,bk,Dg-rr…

Żargon i terminologia

Oznacza to używanie żargonu zawodowego zrozumiałego dla niezwykle wąskiej grupy osób. Słowa te są znacznie bardziej odległe od przeciętnego człowieka niż powiedzonka kryminalne szeroko komentowane w telewizji i na ulicach każdego miasta.

Możesz na przykład użyć wypisu ze szpitala lub trudnej definicji medycznej.

Przykład:

Cyklopentanoperhydrofenantren to termin składający się z 28 liter. Okazuje się, że jest trochę długi, więc proponuję wyrzucić samogłoski i rozcieńczyć pozostałe spółgłoski wielkimi literami.

Pamiętne daty

Oczywiście data urodzin lub dzień rozpoczęcia życia małżeńskiego nie są najlepszą podstawą hasła. Wydarzenie powinno mieć wyjątkową wagę i tylko Ty powinieneś o nim wiedzieć. Może to być na przykład dzień, w którym po raz pierwszy zjadłeś gumę, uciekłeś z zajęć lub złamałeś piętę. Ponieważ hasło będzie oparte na cyfrach, dobrym pomysłem będzie wymieszanie ich z literami.

Przykład:

22.10.1983 i 16.06.2011

Zastąp kropki oddzielające dzień, miesiąc i rok dowolną literą, na przykład małą angielską literą „l”, która jest bardzo podobna do dość często używanego separatora „/”. Pomiędzy datami wstawimy znak podkreślenia „_”. Zastąpmy zera literami „o”.

Klucz wizualny

Skorzystaj z techniki odblokowywania smartfona również na klawiaturze. Pomyśl o dowolnym kształcie i „przesuń” palcem po jego konturach.

Nie zapomnij przejść przez liczby, zmienić kierunek ruchu w poziomie i pionie. I w przeciwieństwie do mnie wykaż się wyobraźnią!

Wniosek

Proponowane sposoby tworzenia hasła zapadającego w pamięć, ale jednocześnie dość trudnego do zrozumienia, możesz zmieniać i łączyć według własnego uznania. Wystarczy raz pomyśleć o swoim superhasle, a będziesz mógł bez obaw używać go w obecności nieznajomej osoby.

Jak wybierasz hasło?