Un nouvel algorithme pour vérifier la force des mots de passe. Comment créer et mémoriser un mot de passe fort Comment vérifier votre mot de passe

De nombreux sites tentent d'aider les utilisateurs à définir des mots de passe plus complexes. Pour ce faire, des règles de base sont établies, qui nécessitent généralement de spécifier au moins une lettre majuscule, une lettre minuscule, un chiffre, etc. Les règles sont généralement primitives comme ceci :

"mot de passe" => [ "obligatoire", "confirmé", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
Malheureusement, des règles aussi simples signifient que le mot de passe Abcd1234 sera considéré comme bon et de haute qualité, tout comme le mot de passe1. En revanche, le mot de passe mu-icac-of-jaz-doad ne passera pas la validation.

Voici les deux premiers mots de passe.

Voici deux mots de passe qui ne passeront pas le contrôle de sécurité.

Ce qu'il faut faire? Peut-être ne devriez-vous pas forcer l'utilisation de caractères spéciaux et introduire de plus en plus de nouvelles règles, comme l'interdiction de répéter plusieurs caractères à la suite, en utilisant non pas un, mais deux ou trois caractères spéciaux et chiffres, en augmentant la longueur minimale du mot de passe, etc.

Au lieu de tout cela, il vous suffit de faire une chose simple : il suffit d'installer contrainte d'entropie minimale mot de passe, et c'est tout ! Vous pouvez utiliser l'évaluateur prêt à l'emploi zxcvbn pour cela.

Il existe d'autres solutions que zxcvbn. La semaine dernière, un article (pdf) rédigé par des chercheurs en sécurité de Symantec Research et de l'institut de recherche français Eurecom a été présenté lors de la conférence ACM Computer and Communications Security. Ils ont développé un nouveau vérificateur de force de mot de passe qui estime le nombre approximatif de tentatives de force brute requises à l'aide de la méthode de Monte Carlo. La méthode proposée se distingue par le fait qu'elle nécessite un minimum de ressources informatiques sur le serveur, qu'elle convient à un grand nombre de modèles probabilistes et qu'elle est en même temps assez précise. La méthode a été testée sur des mots de passe de la base de données de 10 millions de mots de passe Xato, qui sont dans le domaine public (copie sur Archive.org) - elle a donné un bon résultat. Il est vrai que cette étude réalisée par Symantec Research et Eurecom est de nature plutôt théorique ; du moins, ils n'ont pas rendu leur programme accessible au public sous une forme acceptable ; Cependant, l'objectif du travail est clair : au lieu de règles heuristiques pour vérifier les mots de passe, il est conseillé aux sites Web de mettre en œuvre une vérification entropique.

Analyseur de mot de passe SeaMonkey

Cet analyseur de mots de passe a été développé dans le cadre du projet SeaMonkey, un ensemble gratuit de programmes Internet créés et maintenus par le Seamonkey Council, une spin-off de la Fondation Mozilla. Le mécanisme d'analyse des mots de passe lui-même fait partie du . L'algorithme de son travail consiste à calculer le poids du mot de passe, sur la base des données sur les caractères à partir desquels le mot de passe est composé. Le poids du mot de passe est calculé à l'aide de la formule suivante :
force= ((pwlength * 10) - 20) + (numérique * 10) + (symboles numériques * 15) + (supérieur * 10) , où

• pwlongueur est égal à 5 ​​si le nombre de caractères du mot de passe est supérieur à 5, ou égal à la longueur du mot de passe ;
• numériqueégal à 3 si le nombre de chiffres du mot de passe est supérieur à 3, sinon égal au nombre de chiffres ;
• symboles numériques est considéré comme égal à 3 si le nombre de caractères du mot de passe autres que les lettres, les chiffres et les traits de soulignement est supérieur à 3, sinon - le nombre de ces caractères ;
• supérieur est égal à 3 si le nombre de lettres majuscules est supérieur à 3, ou au nombre de lettres majuscules dans le cas contraire.

Après calcul, le poids du mot de passe est normalisé afin que sa valeur soit comprise entre 0 et 100. La normalisation est effectuée lorsque la valeur du poids n'entre pas dans cette plage. Dans le cas où force inférieur à 0, valeur force est égal à zéro, et lorsqu'il est supérieur à 0, la valeur du poids est fixée à 100. Le classement du mot de passe par force est laissé à la discrétion des développeurs utilisant la bibliothèque.
Comme vous pouvez le constater, l'analyseur décrit n'utilise aucune vérification à l'aide de dictionnaires, ce qui rend ses estimations quelque peu unilatérales et probablement moins précises par rapport aux programmes de Google et Microsoft évoqués ci-dessus.

Compteur de force de mot de passe (plugin jQuery)

Une autre option pour un évaluateur de mot de passe côté client est Password Strength Meter (), un plugin développé pour le framework JavaScript jQuery.
La procédure d'évaluation fonctionne comme suit. Il existe de nombreuses qualités connues qui font qu'un mot de passe augmente ou diminue sa résistance à la devinette. Chaque qualité a son propre poids strictement défini. L'algorithme consiste en une vérification étape par étape de la présence de ces qualités dans un mot de passe et, si elles sont présentes, le poids total du mot de passe augmente, en fonction de la valeur dont, après avoir visualisé toutes les caractéristiques, une conclusion est fait sur le niveau de force du mot de passe.
Considérons l'algorithme complet pour la procédure d'évaluation du mot de passe :

1. Le poids du mot de passe est fixé à zéro.
2. Si la longueur du mot de passe est inférieure à 4 caractères, alors l'algorithme se termine et le résultat « le mot de passe est trop court » est renvoyé. Sinon, passez à l'étape 3.
3. Nous augmentons le poids du mot de passe de 4 * longueur, Où len– la longueur du mot de passe.
4. Une tentative est effectuée pour compresser le mot de passe à l'aide de l'algorithme suivant. Si le mot de passe contient une sous-chaîne comme SS, Où S est une chaîne de longueur 1, alors la première partie de cette sous-chaîne est supprimée et la compression continue à partir de la position du début de la deuxième partie de cette sous-chaîne. Par exemple, appliquer cet algorithme à la chaîne aaabbcab, la sortie sera la chaîne abcab. Après avoir effectué l'opération de compression, le poids du mot de passe est réduit de len - lenCompress, Où len est la longueur du mot de passe, et lenCompress– longueur du mot de passe après compression.
5. Des tentatives sont en cours pour compresser le mot de passe pour les cas de chaîne S 2, 3 et 4 caractères. Le poids du mot de passe est réduit de la même manière du montant len - lenCompress. Notez que la compression est effectuée à chaque fois sur le mot de passe en cours de vérification, et non sur les chaînes obtenues lors des tentatives précédentes.
6. Si le mot de passe contient au moins 3 chiffres, augmentez le poids de 5.
7. Si le mot de passe contient au moins 2 caractères, augmentez le poids de 5.
8. Si le mot de passe contient des lettres en majuscules et en minuscules, augmentez le poids du mot de passe de 10.
9. Si le mot de passe contient des lettres et des chiffres, augmentez le poids du mot de passe de 15.
10. Si le mot de passe contient des caractères et des chiffres, augmentez le poids de 15.
11. Si le mot de passe contient des lettres et des symboles, augmentez le poids de 15.
12. Si le mot de passe se compose uniquement de lettres ou de chiffres, réduisez le poids du mot de passe de 10.
13. Si le poids du mot de passe est inférieur à 0, définissez-le sur 0. S'il est supérieur à 100, définissez-le sur 100.
14. Un mot de passe dont le poids est inférieur à 34 est considéré comme « faible ». Si le poids est compris entre 34 et 67, alors le mot de passe est classé comme « bon », et s'il est supérieur à 67, alors le mot de passe est considéré comme « excellent ».

L'analyseur analysé, comme le produit de SeaMonkey, ne vérifie le mot de passe à l'aide d'aucun dictionnaire. De plus, la question reste ouverte sur la validité du choix de certaines valeurs de coefficients de pondération lors de la constitution d'une évaluation de mot de passe.
Disponible démontrant la fonctionnalité de ce plugin.

Cornell University - Vérificateur de force de mot de passe

Service en ligne officiel fourni par le Cornell University Security Center (Ithaca, USA). Avec son aide, les utilisateurs peuvent vérifier leur mot de passe en remplissant un formulaire Web et en le soumettant pour vérification. L'évaluation du mot de passe, comme dans le cas du service Google, est effectuée côté serveur.
La mise en œuvre de l'algorithme n'est pas accessible au public, mais la description du service précise les exigences que le mot de passe doit satisfaire pour que la vérification réussisse :

1. le mot de passe doit comporter au moins 8 caractères ;
2. Lors de la composition d'un mot de passe, des caractères d'au moins trois alphabets de la liste suivante sont utilisés :
   • lettres majuscules latines
   • lettres latines minuscules
   • Nombres
   • caractères spéciaux (tels que ! * () : |)
3. le mot de passe ne doit pas contenir de mots du dictionnaire ;
4. Le mot de passe ne doit pas contenir de séquences de lettres répétées (par exemple, AAA) ni de séquences telles que abc, qwerty, 123, 321.

Ces exigences doivent être strictement respectées. Si au moins certaines conditions ne sont pas remplies, le mot de passe est considéré comme peu fiable.
Les critiques suivantes peuvent être adressées à cette approche. Ainsi, un mot de passe d'une longueur arbitrairement longue, par exemple une phrase en langage naturel, ne satisfera pas à la condition n°3, qui attribuera automatiquement au mot de passe un score faible, même si cela peut ne pas être entièrement justifié.

Testeur de force de mot de passe

Analyseur de mot de passe JavaScript, développé et maintenu dans le cadre du projet Rumkin.com.
L'algorithme d'évaluation mis en œuvre dans cet analyseur est basé sur les principes généraux de la théorie de l'information. La principale évaluation d'un mot de passe est son entropie, qui est calculée à l'aide de tableaux digrammes pour la langue anglaise.
L'entropie (capacité informationnelle) d'un mot de passe est une mesure du caractère aléatoire du choix de la séquence de symboles qui composent le mot de passe, estimée par les méthodes de la théorie de l'information.
Capacité d'information E mesuré en bits et caractérise la résistance à la prédiction du mot de passe par force brute, à condition qu'il n'y ait pas d'informations a priori sur la nature du mot de passe et que l'attaquant utilise une stratégie de force brute optimale, dans laquelle le nombre moyen attendu de tentatives avant une réussite un est 2 E-1. Selon le créateur de cet évaluateur, afin de réduire la quantité d'informations chargées côté client, tous les caractères non alphabétiques ont été regroupés en un seul groupe. Ce groupe agit comme une sorte de symbole universel utilisé dans le tableau des fréquences. Comme le note le développeur, avec cette hypothèse, la valeur de l'entropie résultante sera inférieure à celle dans le cas où tous les symboles sont présentés séparément dans le tableau des fréquences.
En fonction de la valeur d'entropie obtenue, le mot de passe se voit attribuer la caractéristique correspondante de sa force.

Entropie

Niveau de durabilité

De nombreux sites tentent d'aider les utilisateurs à définir des mots de passe plus complexes. Pour ce faire, des règles de base sont établies, qui nécessitent généralement de spécifier au moins une lettre majuscule, une lettre minuscule, un chiffre, etc. Les règles sont généralement primitives comme ceci :

"mot de passe" => [ "obligatoire", "confirmé", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
Malheureusement, des règles aussi simples signifient que le mot de passe Abcd1234 sera considéré comme bon et de haute qualité, tout comme le mot de passe1. En revanche, le mot de passe mu-icac-of-jaz-doad ne passera pas la validation.

Voici les deux premiers mots de passe.

Voici deux mots de passe qui ne passeront pas le contrôle de sécurité.

Ce qu'il faut faire? Peut-être ne devriez-vous pas forcer l'utilisation de caractères spéciaux et introduire de plus en plus de nouvelles règles, comme l'interdiction de répéter plusieurs caractères à la suite, en utilisant non pas un, mais deux ou trois caractères spéciaux et chiffres, en augmentant la longueur minimale du mot de passe, etc.

Au lieu de tout cela, il vous suffit de faire une chose simple : il suffit d'installer contrainte d'entropie minimale mot de passe, et c'est tout ! Vous pouvez utiliser l'évaluateur prêt à l'emploi zxcvbn pour cela.

Il existe d'autres solutions que zxcvbn. La semaine dernière, un article (pdf) rédigé par des chercheurs en sécurité de Symantec Research et de l'institut de recherche français Eurecom a été présenté lors de la conférence ACM Computer and Communications Security. Ils ont développé un nouveau vérificateur de force de mot de passe qui estime le nombre approximatif de tentatives de force brute requises à l'aide de la méthode de Monte Carlo. La méthode proposée se distingue par le fait qu'elle nécessite un minimum de ressources informatiques sur le serveur, qu'elle convient à un grand nombre de modèles probabilistes et qu'elle est en même temps assez précise. La méthode a été testée sur des mots de passe de la base de données de 10 millions de mots de passe Xato, qui sont dans le domaine public (copie sur Archive.org) - elle a donné un bon résultat. Il est vrai que cette étude réalisée par Symantec Research et Eurecom est de nature plutôt théorique ; du moins, ils n'ont pas rendu leur programme accessible au public sous une forme acceptable ; Cependant, l'objectif du travail est clair : au lieu de règles heuristiques pour vérifier les mots de passe, il est conseillé aux sites Web de mettre en œuvre une vérification entropique.

Aujourd'hui, nous parlerons de la sécurité de vos informations personnelles et, bien sûr, nous nous familiariserons avec plusieurs services en ligne utiles.

Qu'est-ce qu'un mot de passe exactement ? Il s'agit d'une séquence de signes dans un ordre aléatoire qui permet à une personne de rendre certaines informations inaccessibles à d'autres personnes. Il s'agit essentiellement d'une garantie que personne ne pourra accéder à vos informations à votre insu et sans votre consentement.

Mais, mes amis, êtes-vous sûrs qu'en protégeant certains contenus avec un mot de passe, vous pouvez désormais dormir paisiblement ? Êtes-vous sûr que le mot de passe que vous avez créé ne peut pas être trouvé ou deviné ? Mais qu’en est-il des centaines et des milliers de cas de sites (blogs) piratés par des personnes qui, comme vous, étaient totalement convaincues qu’ils étaient inaccessibles aux pirates ?

Comment les mots de passe sont piratés

Seul vous et personne d’autre connaissez le mot secret pour accéder. Comment alors est-il possible de le récupérer ? C'est très simple : souvent des dates ou des mots ordinaires du dictionnaire sont utilisés comme mot de passe. Le nombre de chiffres et le vocabulaire d'une personne sont limités - les mots de passe de ce type sont généralement déchiffrés en quelques minutes par des programmes spéciaux qui parcourent toutes les options possibles à une vitesse fulgurante.

Si nous tapons l'expression exacte « cracker un mot de passe » dans le moteur de recherche Yandex, nous recevrons 184 000 réponses avec des méthodes et des moyens spécifiques pour le faire. Les experts disent : aujourd'hui, le niveau de développement des technologies et des méthodes de piratage est tel que vous pouvez récupérer absolument n'importe quel mot de passe, la seule question est le temps...

Vérifier la force des mots de passe

Voulez-vous savoir dès maintenant à quelle vitesse vous pouvez pirater votre mot de passe ? Utilisez le service en ligne Dans quelle mesure mon mot de passe est-il sécurisé. Il vous montrera combien de temps il faudra aux pirates pour trouver votre mot secret et vous donnera des recommandations sur ce qu'il faut changer.

Voici par exemple le résultat de l'analyse de mon mot de passe pour le client WebMoney (je peux probablement dormir tranquille) :

Création d'un mot de passe sécurisé

Si, sur la base des résultats de l’analyse, il s’avère que vous ne pouvez pas espérer dormir paisiblement pendant au moins les prochains milliards d’années, je vous suggère d’utiliser le service générateur de mots de passe en ligne. Il vous aidera à créer un mot de passe extrêmement fort, qui se distingue par le fait qu'il ne peut pas être déchiffré par la force brute. Pour ce faire, il doit contenir :

• au moins 8 caractères (de préférence plus de 12)
• lettres minuscules et majuscules de l'alphabet
• Nombres
• symboles

Toutes les options sont facilement configurées à l'aide des cases à cocher appropriées. J'ai pris l'un des mots de passe générés par ce service et je l'ai testé pour sa vitesse de piratage. Vous pouvez évaluer vous-même les résultats :

Mes amis, personne ne veillera à la sécurité de vos données personnelles à part vous. Il est toujours préférable de prévenir à l’avance les conséquences désagréables plutôt que de résoudre les problèmes qui surviennent plus tard. Les services en ligne décrits aujourd'hui vous aideront de la meilleure façon possible à prévenir d'éventuels problèmes. Bonne chance!

La plupart des attaquants ne s'embarrassent pas de méthodes sophistiquées pour voler des mots de passe. Ils prennent des combinaisons faciles à deviner. Environ 1 % de tous les mots de passe actuellement existants peuvent être devinés en quatre tentatives.

Comment est-ce possible ? Très simple. Vous essayez les quatre combinaisons les plus courantes au monde : mot de passe, 123456, 12345678, qwerty. Après un tel passage, en moyenne, 1% de tous les « cercueils » sont ouverts.

Disons que vous faites partie de ces 99% d'utilisateurs dont le mot de passe n'est pas si simple. Même dans ce cas, les performances des logiciels de piratage modernes doivent être prises en compte.

John the Ripper est un programme gratuit et accessible au public qui peut vérifier des millions de mots de passe par seconde. Certains échantillons de logiciels commerciaux spécialisés revendiquent une capacité de 2,8 milliards de mots de passe par seconde.

Initialement, les programmes de piratage parcourent une liste des combinaisons statistiquement les plus courantes, puis se tournent vers le dictionnaire complet. Les tendances des mots de passe des utilisateurs peuvent changer légèrement au fil du temps, et ces changements sont pris en compte lors de la mise à jour de ces listes.

Au fil du temps, toutes sortes de services et d'applications Web ont décidé de compliquer de force les mots de passe créés par les utilisateurs. Des exigences ont été ajoutées selon lesquelles le mot de passe doit avoir une certaine longueur minimale, contenir des chiffres, des majuscules et des caractères spéciaux. Certains services prennent cela si au sérieux que trouver un mot de passe que le système accepterait prend un temps très long et fastidieux.

Le problème clé est que presque tous les utilisateurs ne génèrent pas de mot de passe vraiment indevinable, mais essaient uniquement de répondre aux exigences minimales du système pour la composition du mot de passe.

Le résultat est des mots de passe dans le style mot de passe1, mot de passe123, mot de passe, PaSsWoRd, mot de passe ! et le p@ssword incroyablement imprévisible.

Imaginez que vous deviez changer le mot de passe de Spiderman. Il ressemblera très probablement à $pider_Man1. Original? Des milliers de personnes le modifieront en utilisant le même algorithme ou un algorithme très similaire.

Si l’attaquant connaît ces exigences minimales, la situation ne fait qu’empirer. C’est pour cette raison que l’exigence imposée de rendre les mots de passe plus complexes ne permet pas toujours d’obtenir de meilleurs mots de passe et crée souvent un faux sentiment de sécurité accrue.

Plus un mot de passe est facile à retenir, plus il a de chances de se retrouver dans les dictionnaires des programmes de cracking. En conséquence, il s'avère qu'un mot de passe vraiment fort est tout simplement impossible à retenir, ce qui signifie qu'il doit se trouver quelque part.

Selon les experts, même à l’ère du numérique, les gens peuvent toujours se fier à un morceau de papier sur lequel sont écrits des mots de passe. Il est pratique de conserver une telle feuille dans un endroit à l'abri des regards indiscrets, par exemple dans un sac à main ou un portefeuille.

Toutefois, une feuille de mots de passe ne résout pas le problème. Les mots de passe longs sont non seulement difficiles à mémoriser, mais également difficiles à saisir. La situation est aggravée par les claviers virtuels sur les appareils mobiles.

En interagissant avec des dizaines de services et de sites, de nombreux utilisateurs laissent derrière eux une chaîne de mots de passe identiques. Ils essaient d’utiliser le même mot de passe pour chaque site, ignorant complètement les risques.

Dans ce cas, certains sites font office de nounou, obligeant à compliquer la combinaison. En conséquence, l'utilisateur ne peut tout simplement pas comprendre comment il a dû modifier son mot de passe unique standard pour ce site.

L’ampleur du problème a été pleinement prise en compte en 2009. Puis, à cause d'une faille de sécurité, un hacker a réussi à voler la base de données d'identifiants et de mots de passe de RockYou.com, une société qui publie des jeux sur Facebook. L'attaquant a placé la base de données dans le domaine public. Au total, il contenait 32,5 millions d’enregistrements contenant des noms d’utilisateur et des mots de passe de comptes. Des fuites se sont déjà produites, mais l’ampleur de cet événement particulier donne une image globale.

Le mot de passe le plus populaire sur RockYou.com était 123456, utilisé par près de 291 000 personnes. Les hommes de moins de 30 ans préféraient plus souvent les thèmes sexuels et la vulgarité. Les personnes âgées des deux sexes se tournaient souvent vers l’une ou l’autre aire culturelle pour choisir un mot de passe. Par exemple, Epsilon793 ne semble pas être une si mauvaise option, sauf que cette combinaison était dans Star Trek. Le 8675309 à sept chiffres a été vu à plusieurs reprises car il figurait dans l'une des chansons de Tommy Tutone.

En fait, créer un mot de passe fort est une tâche simple ; tout ce que vous avez à faire est de créer une combinaison de caractères aléatoires.

Vous ne pourrez pas créer une combinaison mathématique parfaitement aléatoire dans votre tête, mais ce n’est pas obligatoire. Il existe des services spéciaux qui génèrent des combinaisons véritablement aléatoires. Par exemple, random.org peut créer des mots de passe comme celui-ci :

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4 ;
• BLJbsf6r.

Il s'agit d'une solution simple et élégante, en particulier pour ceux qui utilisent le stockage de mots de passe.

Malheureusement, la plupart des utilisateurs continuent d’utiliser des mots de passe simples et faibles, ignorant même la règle des « mots de passe différents pour chaque site ». Pour eux, la commodité est plus importante que la sécurité.

Les situations dans lesquelles un mot de passe peut être menacé peuvent être divisées en 3 grandes catégories :

• Aléatoire, dans lequel une personne que vous connaissez tente de connaître votre mot de passe, sur la base d'informations vous concernant qu'elle connaît. Souvent, un tel cambrioleur veut simplement faire une blague, découvrir quelque chose sur vous ou vous jouer de sales tours.
• Attaques massives, alors qu'absolument n'importe quel utilisateur de certains services peut devenir une victime. Dans ce cas, un logiciel spécialisé est utilisé. Les sites les moins sécurisés sont sélectionnés pour l'attaque, ce qui permet de saisir plusieurs variantes de mot de passe dans un court laps de temps.
• Ciblé, combinant la réception de conseils suggestifs (comme dans le premier cas) et l'utilisation de logiciels spécialisés (comme lors d'une attaque de masse). Nous parlons ici d’essayer d’obtenir des informations vraiment précieuses. Seul un mot de passe aléatoire suffisamment long vous aidera à vous protéger, dont la sélection prendra un temps comparable à la durée de votre mot de passe.

Comme vous pouvez le constater, absolument n’importe qui peut devenir victime. Des affirmations telles que « ils ne me voleront pas mon mot de passe parce que personne n’a besoin de moi » ne sont pas pertinentes, car vous pouvez vous retrouver dans une situation similaire complètement par accident, par coïncidence, sans aucune raison apparente.

Ceux qui disposent d'informations précieuses, sont impliqués dans des affaires ou sont en conflit avec quelqu'un pour des raisons financières (par exemple, partage des biens lors d'un divorce, concurrence dans les affaires) devraient prendre la protection par mot de passe encore plus au sérieux.

En 2009, Twitter (au sens de l'ensemble du service) a été piraté uniquement parce que l'administrateur a utilisé le mot bonheur comme mot de passe. Un pirate informatique l'a récupéré et l'a publié sur le site Web Digital Gangster, ce qui a conduit au détournement des comptes d'Obama, Britney Spears, Facebook et Fox News.

Acronymes

Comme dans tout autre aspect de la vie, nous devons toujours faire un compromis entre sécurité maximale et confort maximal. Comment trouver le juste milieu ? Quelle stratégie de génération de mots de passe vous permettra de créer des combinaisons fortes dont vous pourrez facilement vous souvenir ?

À l'heure actuelle, la meilleure combinaison de fiabilité et de commodité consiste à convertir une phrase ou une expression en mot de passe.

Un ensemble de mots est sélectionné dont vous vous souvenez toujours, et le mot de passe est une combinaison des premières lettres de chaque mot. Par exemple, Que la force soit avec toi se transforme en Mtfbwy.

Cependant, comme les plus connus seront utilisés comme premiers, les programmes finiront par recevoir ces acronymes dans leurs listes. En effet, un acronyme ne contient que des lettres, et est donc objectivement moins fiable qu'une combinaison aléatoire de symboles.

Le bon choix de phrase vous aidera à vous débarrasser du premier problème. Pourquoi transformer une expression mondialement connue en acronyme mot de passe ? Vous vous souvenez probablement de certaines paroles qui ne concernent que votre entourage proche. Disons que vous avez entendu une phrase très mémorable de la part d'un barman d'un établissement local. Utilisez-le.

Et il est encore peu probable que le mot de passe acronyme que vous générez soit unique. Le problème avec les acronymes est que différentes expressions peuvent être constituées de mots commençant par les mêmes lettres et disposés dans le même ordre. Statistiquement, dans diverses langues, il existe une fréquence accrue de certaines lettres apparaissant comme démarreurs de mots. Les programmes tiendront compte de ces facteurs et l’efficacité des acronymes dans la version originale diminuera.

Méthode inversée

La solution pourrait être la méthode de génération inverse. Vous créez un mot de passe complètement aléatoire dans random.org, puis transformez ses caractères en une phrase significative et mémorable.

Souvent, les services et les sites donnent aux utilisateurs des mots de passe temporaires, qui sont des combinaisons parfaitement aléatoires. Vous aurez envie de les modifier car vous ne pourrez pas vous en souvenir, mais si vous regardez d'un peu plus près, il devient évident que vous n'avez pas besoin de vous souvenir du mot de passe. Par exemple, prenons une autre option de random.org - RPM8t4ka.

Même si cela semble dénué de sens, notre cerveau est capable de trouver certains schémas et correspondances, même dans un tel chaos. Pour commencer, vous pouvez remarquer que les trois premières lettres sont en majuscules et les trois suivantes sont en minuscules. 8 est deux fois (en anglais deux fois - t) 4. Regardez un peu ce mot de passe, et vous trouverez certainement vos propres associations avec l'ensemble de lettres et de chiffres proposé.

Si vous pouvez mémoriser des chaînes de mots dénuées de sens, utilisez-les. Laissez le mot de passe se transformer en tours par minute 8 piste 4 katty. Toute conversion pour laquelle votre cerveau est mieux adapté fera l’affaire.

Un mot de passe aléatoire est la référence en matière de technologie de l’information. C'est par définition meilleur que n'importe quel mot de passe créé par l'homme.

L'inconvénient des acronymes est qu'avec le temps, la diffusion d'une telle technique réduira son efficacité, et la méthode inverse restera tout aussi fiable, même si tous les habitants de la planète l'utilisent depuis mille ans.

Un mot de passe aléatoire ne sera pas inclus dans la liste des combinaisons populaires, et un attaquant utilisant une méthode d'attaque de masse ne trouvera un tel mot de passe qu'en utilisant la force brute.

Prenons un simple mot de passe aléatoire qui prend en compte les majuscules et les chiffres – soit 62 caractères possibles pour chaque position. Si nous faisons en sorte que le mot de passe ne comporte que 8 chiffres, nous obtenons 62 ^ 8 = 218 000 milliards d'options.

Même si le nombre de tentatives dans un certain laps de temps est illimité, le logiciel spécialisé le plus commercial, avec une capacité de 2,8 milliards de mots de passe par seconde, passera en moyenne 22 heures à tenter de trouver la bonne combinaison. Bien sûr, nous n'ajoutons qu'un seul caractère supplémentaire à un tel mot de passe - et il faudra de nombreuses années pour le déchiffrer.

Un mot de passe aléatoire n'est pas invulnérable, car il peut être volé. Il existe de nombreuses options, allant de la lecture des entrées sur un clavier à une caméra sur votre épaule.

Un pirate informatique peut attaquer le service lui-même et obtenir des données directement depuis ses serveurs. Dans cette situation, rien ne dépend de l'utilisateur.

Base fiable unique

Nous sommes donc arrivés à l’essentiel. Quelles tactiques de mot de passe aléatoire devriez-vous utiliser dans la vraie vie ? Du point de vue de l’équilibre et de la commodité, la « philosophie d’un mot de passe fort » fonctionnera bien.

Le principe est que vous utilisez la même base : un mot de passe ultra-sécurisé (ses variantes) sur les services et sites qui sont les plus importants pour vous.

N’importe qui peut se souvenir d’une combinaison longue et complexe.

Nick Berry, consultant en sécurité de l'information, autorise ce principe, à condition que le mot de passe soit très bien protégé.

La présence de logiciels malveillants sur l'ordinateur à partir duquel vous saisissez le mot de passe n'est pas autorisée. Il n'est pas permis d'utiliser le même mot de passe pour des sites moins importants et divertissants - des mots de passe plus simples leur suffiront, car le piratage d'un compte ici n'entraînera aucune conséquence fatale.

Il est clair qu’une fondation fiable doit être modifiée d’une manière ou d’une autre pour chaque site. Comme option simple, vous pouvez ajouter une lettre au début pour terminer le nom du site ou du service. Si nous revenons à ce mot de passe aléatoire RPM8t4ka, alors pour la connexion Facebook, il se transformera en kRPM8t4ka.

Un attaquant qui voit un tel mot de passe ne pourra pas comprendre comment le mot de passe de votre compte est généré. Les problèmes commenceront si quelqu’un accède à deux ou plusieurs de vos mots de passe générés de cette manière.

question de sécurité

Certains pirates de l’air ignorent complètement les mots de passe. Ils agissent au nom du propriétaire du compte et simulent une situation dans laquelle vous avez oublié votre mot de passe et le souhaitez pour une question de sécurité. Dans ce scénario, il peut modifier le mot de passe à sa propre demande et le véritable propriétaire perdra l'accès à son compte.

En 2008, quelqu'un a eu accès au courrier électronique de Sarah Palin, gouverneure de l'Alaska et à l'époque également candidate à la présidence des États-Unis. Le cambrioleur a répondu à la question secrète qui ressemblait à ceci : « Où avez-vous rencontré votre mari ?

Après 4 ans, Mitt Romney, qui était également candidat à la présidence des États-Unis à l'époque, a perdu plusieurs de ses comptes sur divers services. Quelqu'un a répondu à la question de sécurité sur le nom de l'animal de compagnie de Mitt Romney.

Vous avez déjà deviné le point.

Vous ne pouvez pas utiliser des données publiques et facilement devinables comme questions et réponses secrètes.

La question n’est même pas de savoir si ces informations peuvent être soigneusement extraites d’Internet ou de collaborateurs proches. Les réponses aux questions du style « nom de l'animal », « équipe de hockey préférée », etc. sont parfaitement sélectionnées dans les dictionnaires correspondants d'options populaires.

Comme option temporaire, vous pouvez utiliser la tactique d’une réponse absurde. En termes simples, la réponse ne devrait avoir rien à voir avec la question de sécurité. Le nom de jeune fille de la mère ? Diphénhydramine. Nom de l'animal ? 1991.

Toutefois, une telle technique, si elle se généralise, sera prise en compte dans les programmes concernés. Les réponses absurdes sont souvent stéréotypées, c'est-à-dire que certaines phrases apparaîtront beaucoup plus souvent que d'autres.

En fait, il n’y a rien de mal à utiliser de vraies réponses, il vous suffit de choisir judicieusement la question. Si la question n'est pas standard et que la réponse n'est connue que de vous et ne peut être devinée après trois tentatives, alors tout est en ordre. L’avantage d’une réponse véridique est que vous ne l’oublierez pas avec le temps.

ÉPINGLE

Le numéro d'identification personnel (PIN) est un verrou bon marché que notre . Personne ne prend la peine de créer une combinaison plus fiable d'au moins ces quatre chiffres.

Maintenant, arrête. Tout de suite. Dès maintenant, sans lire le paragraphe suivant, essayez de deviner le code PIN le plus populaire. Prêt?

Nick Berry estime que 11 % de la population américaine utilise la combinaison 1234 comme code PIN (où il est possible de le modifier soi-même).

Les pirates ne font pas attention aux codes PIN car sans la présence physique de la carte le code est inutile (cela peut justifier en partie la courte longueur du code).

Berry a pris des listes de mots de passe apparus après des fuites sur le réseau, qui étaient des combinaisons de quatre chiffres. Très probablement, la personne utilisant le mot de passe 1967 l'a choisi pour une raison. Le deuxième code PIN le plus populaire est le 1111, avec 6 % des personnes préférant ce code. En troisième position se trouve 0000 (2%).

Supposons que la personne qui connaît cette information ait entre les mains les informations de quelqu'un d'autre. Trois tentatives avant que la carte ne soit bloquée. Un calcul simple vous permet de calculer que cette personne a 19 % de chances de deviner le code PIN si elle saisit successivement 1234, 1111 et 0000.

C'est probablement la raison pour laquelle la grande majorité des banques définissent elles-mêmes les codes PIN pour les cartes plastiques émises.

Cependant, beaucoup protègent les smartphones avec un code PIN, et ici les cotes de popularité suivantes s'appliquent : 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Souvent, le code PIN représente une année (année de naissance ou date historique).

De nombreuses personnes aiment créer des codes PIN sous la forme de paires de chiffres répétitives (et les paires dans lesquelles le premier et le deuxième chiffres diffèrent d'un seul sont particulièrement populaires).

Les claviers numériques des appareils mobiles affichent des combinaisons comme 2580 en haut - pour la saisir, il suffit de faire un passage droit de haut en bas au centre.

En Corée, le nombre 1004 est en accord avec le mot « ange », ce qui rend cette combinaison très populaire là-bas.

Conclusion

1. Accédez à random.org et créez 5 à 10 mots de passe candidats.
2. Choisissez un mot de passe que vous pouvez transformer en une phrase mémorable.
3. Utilisez cette phrase pour mémoriser votre mot de passe.