Стійкість пароля перевірити з поясненням. Перевірка складності пароля та його складання. Принципи, що використовуються під час створення пароля

Експерти з комп'ютерної безпеки з Кембриджського університету проаналізували структуру понад 70 млн паролів. І з'ясували те, що найскладніші паролі у світі становлять користувачі з Німеччини та Кореї. Причому роблять вони це невимушено та природно, без спеціальної підготовки. А секрет стійкості комбінацій криється у специфіці їхньої мови. Вони застосовують самі латинські символи, самі цифри, але беруть за основу свої рідні «важкі» слова - імена, топоніми, терміни тощо. Наприклад, Annaberg-Buchholz #122. Вигадати, запам'ятати ці варіанти легко, а ось підібрати на порядок складніше в порівнянні зі словниковими словами інших мов.

Якщо ви, шановний читачу, не знаєте корейської чи німецької, це, звичайно ж, не означає те, що ви повинні ігнорувати складні паролі. Вони запорукою безпеки ваших даних в інтернеті (у платіжних онлайн-системах, на сайтах, форумах). Ця стаття розповість вам, яким повинен відповідати вимогам ключ для доступу до облікового запису (який він має бути) та як його створити.

Визначення складності

Складність ключа - міра стійкості до підбору на символьному рівні за допомогою ручних та автоматизованих методів (логічного обчислення, підбору за словником). Вона визначається кількістю спроб зломщика, тобто скільки йому знадобиться часу на обчислення складеної користувачем комбінації.

На складність пароля впливають такі фактори:

• Кількість символів у ключі.Чим більше знаків у послідовності, тим краще. Комбінація з 5 знаків має велику ймовірність швидкого злому. А ось на підбір послідовності з 20 знаків можуть піти роки, десятиліття і навіть століття.
• Чергування великих і малих літер.Приклади: ключ dfS123UYt з використанням регістру великих літер на порядок складніше цієї ж комбінації, але тільки з маленькими літерами - dfs123uyt.
• Набір символів.Різноманітність типів символів посилює стійкість. Якщо зробити ключ із маленьких і великих букв, цифр і спецсимволів завдовжки 15-20 знаків, шансів його підібрати практично немає.

Як становити стійкі комбінації?

Нижченаведені способи допоможуть вам придумати дуже складний символьний ключ, який легко запам'ятати.

1. Створіть візуально контури геометричної фігури або предмета на клавіатурі комп'ютера. Потім наберіть символи, за якими проходять лінії.

Увага! Уникайте простих «конструкцій» – лінії, квадрати чи діагоналі. Їх легко передбачити.

2. Складіть складну пропозицію, яка не піддається логіці. Іншими словами, який-небудь каламбур:

Наприклад: Кіт Васька на Юпітері вловив щуку.

Потім візьміть перші 2-3 літери кожного слова з вигаданого речення:
Кіт + Ва + На + Юп + вул + щук

Наберіть склади латинськими літерами:
Rjn + Df + Yf + > g + ek + oer

Після транслітерації вставте між складами якісь добре знайомі вам числа: дату народження, зростання, вагу, вік, останні або перші цифри телефонного номера.
Rjn066Df 45Yf 178>g 115ek1202oer

От і все! Як бачите, вийшла досить "міцна" комбінація. Щоб згадати її швидко, вам потрібен тільки ключ (пропозиція-каламбур) і цифри, що використовуються.

3. Візьміть за основу дві пам'ятні дати. Наприклад, два дні народження (ваше та вашої коханої людини).
12.08.1983 05.01.1977

Розділіть число, місяць і рік якими спецсимволами:
12|08/1983|05\01|1977

Тепер нулі в датах замініть на маленьку букву «o».
12|o8/1983|o5\o1|1977

Виходить досить хитромудрий ключ.

4. Зробіть спеціальну таблицю: по вертикалі та горизонталі матриці розташуйте латинські літери та цифри, а в рядках та стовпцях – символи в хаотичному порядку.

Для створення ключа візьміть кілька простих слів, записаних англійськими літерами, наприклад, my password very strong

Візьміть першу пару літер. У нашому випадку це ми. У вертикальному списку знайдіть "m", у горизонтальному "y". Під час перетину ліній ви отримаєте перший символ пароля.

Так само, за допомогою наступних пар, знайдіть інші символи ключа.

Якщо ви забудете пароль, для його відновлення скористайтеся простим ключовим словом та таблицею.

Як перевірити стійкість пароля?

Стійкість символьної комбінації до підбору можна дізнатися на спеціальних веб-сервісах. Розглянемо найпопулярніші:

Онлайн служба від антивірусної лабораторії Касперського. Визначає за символьним набором і довжиною ключа, скільки знадобиться часу на його зламування на різних комп'ютерах. Після аналізу послідовності в статистиці відображається час для пошуку на ZX-Spectrum (легендарній 8-бітній машині 80-х), Mac Book Pro (моделі 2012 року), суперкомп'ютері Tianhe-2 і в мережі ботнетів Conficker.

Онлайн-утиліта на величезному сервісному порталі 2IP.ru. Після відправки ключа на сервер видає його статус (надійний, ненадійний) і час, що витрачається на його злом.

Всім відомо, що паролі бувають складними та не дуже. Наприклад, alpine- не дуже складний пароль, і встановлювати його паролем користувача root на мільйон підключених до Інтернету пристроїв - щонайменше нерозумно. 7_U]Ah"Cа, навпаки, досить складний пароль. Це вам підтвердить будь-який просунутий Інтернет-користувач, а деякі навіть зможуть пояснити чому. Мовляв, і довше він, і символів у ньому різних багато: тут вам і великі та великі літери, і спец-символи всякі. Загалом, складний він, і вже точно складніше пароля alpine.

А як порівняти складність двох паролів, коли різниця не така очевидна? Наприклад, який пароль складніший: 7_U]Ah"Cабо xrmdCawGZ? Хоча другий пароль, начебто, складається з меншого розмаїття символів, - літер різного регістру, - він довший однією символ. Чи достатньо цього, щоб компенсувати мізерність алфавіту?

Алфавітомназивається безліч символів, у тому числі може складатися пароль. У нашому прикладі пароль 7_U]Ah"Cскладений з алфавіту, що містить такі символи:

• Латинські літери в обох регістрах: a-z, A-Z(26 * 2 = 52 шт.)
• Цифри: 0-9 (10 шт.)
• Спеціальні символи: ! , " , # , $ , % ... (32 шт.)

Складність пароля (чи криптоключа) виявляється у т.зв. коефіцієнт трудомісткості шифру(Work factor). Найбільш поширене пояснення суті КТШ звучить так: це час і комп'ютерні ресурси, необхідні для зламування пароля шляхом повного перебору. brute force) всіх його можливих варіантів. З комбінаторики знаємо, кількість комбінацій з M (розмір алфавіту) по N (довжина пароля) дорівнює M**N (M ступенем N).

Складність пароля зазвичай називають його бітністю. Говорячи, що пароль K-бітний, ми маємо на увазі, що його складність можна порівняти зі складністю пароля з K нулів і одиниць (алфавіту з усього двох символів: 0 і 1). Наприклад, 7_U]Ah"C - 52-бітовий пароль: K = log2 (94**8) = log2 (6095689385410816) ~ 52 .

У пароля xrmdCawGZскромніший алфавіт: з латинських літер в обох регістрах, всього виходить 26*2 = 52 символ. Складність, відповідно, дорівнює M**N = 52**9 = 2779905883635712, а бітність - K = log2 (2779905883635712 ) ~ 51 . Отже, перший пароль приблизно вдвічі складніший за другий, що загалом не є перевагою.

Виникає запитання, навіщо тоді нам алфавіти з усіх цих лапок, дужок та інших гачок? Чи не легше просто вигадувати довгі паролі зі звичних символів? Відповідь проста: нема чого. Краще і надійніше запам'ятати довгу пасфразу, нехай у ній і не буде екзотичних знаків. В даний час надійною вважається пассфраза бітності 128 і вище. Тобто фрази з 20 букв буде цілком достатньо.

Багато сайтів намагаються допомогти користувачам встановити більш складні паролі. Для цього встановлюють базові правила, які вимагають зазвичай вказати хоча б одну велику літеру, одну малу літеру, одну цифру і так далі. Правила зазвичай примітивні на кшталт таких:

"password" => [ "required", "confirmed", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/",];
На жаль, такі прості правила означають, що пароль Abcd1234 буде визнаний хорошим і якісним, як і Password1 . З іншого боку пароль mu-icac-of-jaz-doad не пройде валідацію.

Ось перші два паролі.

А ось два паролі, які не пройдуть перевірку на надійність.

Що ж робити? Може, не варто примушувати до використання спецсимволів і впроваджувати нові правила, на кшталт заборони на повтор декількох символів поспіль, використання не одного, а двох-трьох спецсимволів і цифр, збільшення мінімальної довжини пароля і т.д.

Замість цього достатньо зробити просту річ - просто встановити обмеження на мінімальну ентропіюпароля, і все! Можна використовувати готовий оцінювач zxcvbn .

Є й інші рішення, окрім zxcvbn. Буквально минулого тижня на конференції з безпеки ACM Computer and Communications Security було представлено наукову роботу (pdf) фахівців з безпеки з науково-дослідного підрозділу Symantec Research та французького дослідницького інституту Eurecom. Вони розробили нову програму для перевірки надійності паролів, яка оцінює приблизну кількість необхідних спроб брутфорсу, використовуючи метод Монте-Карло. Пропонований спосіб відрізняється тим, що вимагає мінімальну кількість обчислювальних ресурсів на сервері, підходить для великої кількості ймовірнісних моделей і водночас досить точний. Метод перевірили на паролях із бази 10 млн паролів Xato, які лежать у відкритому доступі (копія на Archive.org) – він показав гарний результат. Правда, це дослідження Symantec Research і Eurecom носить швидше теоретичний характер, принаймні свою програму вони не виклали у відкритий доступ у будь-якому прийнятному вигляді. Проте зміст роботи зрозумілий: замість евристичних правил перевірки паролів веб-сайтам бажано впровадити перевірку на ентропію.

Інтернет-шахраї щодня крадуть мільйони паролів від поштових скриньок та облікових записів користувачів. Але не впадайте у відчай - ми дамо кілька дуже простих, але дієвих порад, які захистять вас від втрати контролю над своїми ресурсами.

Ви здогадувалися, так? Вибачте за банальність, але це головна порада - якою досі більшість користувачів нехтують. Недарма паролі типу qwerty залишаються в топі найпопулярніших досі.

Не використовуйте як пароль ім'я улюблених героїв, назву футбольного клубу або прізвисько домашнього вихованця, оскільки цю інформацію легко знайти у ваших соцмережах. Складний пароль має складатися із довільної комбінації різних знаків та символів.

2. Використовуйте великі та малі літери, цифри та символи

• якість послідовності, чисельно виражена у спеціальних одиницях;
• кількість операцій, необхідне підбору;
• час, необхідний для обчислення комбінації (локально та віддалено).

Успішного вам складання ключа та безпечного користування інтернетом!

Друзі, сьогодні у нас дуже цікава тема і попереду три не менш цікаві питання. Наскільки надійним є пароль? Скільки буде потрібно часу, щоб його зламати? Як зробити пароль більш-менш надійним?

На ці запитання відповідає сервіс "How Secure Is My Password?", що в перекладі звучить так: "Наскільки надійний мій пароль".

Офіційний сайт: http://www.howsecureismypassword.net/

Виглядає цей сервіс наступним чином:

Нам достатньо ввести пароль та перевірити його надійність.

Давайте додамо в основне віконце сайту комбінацію цифр 12345678 і подивимося, що нам «скаже» цей сервіс:

Система виводить таке:

• Пароль 12345678 входить до ТОП-10 найпоширеніших паролів і може бути зламаний миттєво.
• Небажано використовувати пароль у вигляді дати народження чи телефонного номера.
• Наш пароль містить лише літери та цифри (у даному випадку це лише цифри). Система рекомендує додатково використовувати нестандартні символи та пробіли.

А тепер я спробую ввести 20-ти значний пароль:

Результат вже кращим буде:

• Пароль є більше 16 знаків, тому все добре.
• Мій пароль є нестандартним, оскільки містить у собі нестандартні символи (пробіл).
• За розрахунками системи, мій пароль зламають за 1 квінтильйон років (це одиниця з 18 нулями).

До речі, якщо ми запроваджуємо російські символи, сервіс вважає це нестандартним рішенням.

Також сервіс пропонує створити пароль автоматично: