Создание сложных паролей. Распределение символов в паролях

02.02.2019

Пароль – это строка символов, который используется для доступа к информации на компьютере. Парольные фразы – это длинные пароли, которые улучшают безопасность и содержат много слов, которые составляют фразу.

Пароли и парольные фразы позволяют исключить несанкционированный доступ к файлам, программам и другим ресурсам.

Создавая пароль или парольную фразу, делайте их надежными , чтобы их было трудно угадать или взломать.

Также не помешает использовать надежные пароли для всех учетных записей на компьютере. Если используется корпоративная сеть, возможно, администратор может потребовать использования надежного пароля.

Примечание : В беспроводной сети ключ безопасности защищенного доступа Wi-Fi Protected Access (WPA) поддерживает использование парольной фразы. Парольная фраза превращается в ключ, который используется для шифрования (этот процесс невидим для пользователя). Дополнительные сведения о ключах безопасности WPA см. Какие существуют способы защиты беспроводной сети ?

Что делает пароль и парольную фразу надежными

Надежный пароль:	Надежная парольная фраза:
содержит не менее восьми символов; не состоит из целого слова; значительно отличается от предыдущего пароля;	содержит от 20 до 30 символов; состоит из слов, образующих фразу; не содержит распространенные фразы, содержащиеся в литературе и музыке; не содержит слов, которые можно найти в словаре; не содержит имени пользователя, настоящего имени или названия организации; значительно отличается от предыдущего пароля или парольной фразы.

Надежный пароль:

Надежная парольная фраза:

содержит не менее восьми символов;
не состоит из целого слова;
значительно отличается от предыдущего пароля;

содержит от 20 до 30 символов;
состоит из слов, образующих фразу;
не содержит распространенные фразы, содержащиеся в литературе и музыке;
не содержит слов, которые можно найти в словаре;
не содержит имени пользователя, настоящего имени или названия организации;
значительно отличается от предыдущего пароля или парольной фразы.

Надежные пароли и парольные фразы содержат символы, относящиеся к четырем категориям:

Пароль или парольная фраза могут соответствовать всем вышеуказанным требованиям и все равно быть ненадежными . Например, ПривитВ7! отвечает всем характеристикам надежного пароля, однако, он ненадежен, так как содержит целое слово. Пароль Прив1т В 7! является надежным вариантом – в слове некоторые буквы заменены на цифры, а сам пароль содержит пробелы.

Как запомнить надежный пароль или парольную фразу:

Создайте акроним из блока легкой для запоминания информации . Например, выберите фразу, которая будет иметь для вас смысл, вроде День рождения моего сына 12 декабря 2004 года . Руководствуясь этой фразой можно создать пароль вроде Днмс12/Гр, 4 .

Замените буквы или слова на цифры , символы и орфографические ошибки в легкой для запоминания фразе. Например, День рождения моего сына 12 декабря 2004 может превратиться в ДнН @ р М0г0Сuн @ 12124 (использовать пробелы в паролях нельзя).

Свяжите пароль с хобби или любимым видом спорта . Например, Я люблю играть в бадминтон может превратиться в Люб # 8Б @ дм1нт () н .

Если вы хотите записать пароль, чтобы не забыть его, не отмечайте, что это пароль, и храните его в надежном месте.

Пароли с использованием символов ASCII

Также можно создавать пароли и парольные фразы, содержащие расширенные символы ASCII . Использование расширенных символов ASCII поможет обезопасить ваш пароль или парольную фразу, поскольку увеличивается количество символов, которые можно выбрать для создания пароля.

Перед использованием расширенных символов ASCII убедитесь, что такой пароль или парольная фраза будут совместимы с программами, которыми вы пользуетесь дома или на работе. Следует осторожно использовать расширенные символы ASCII в паролях и парольных фразах, если в вашей компании используется несколько операционных систем или другие версии Windows.

Дополнительные символы ASCII можно найти в таблице символов . Некоторые дополнительные символы ASCII не следует использовать в паролях и парольных фразах. Не используйте символ, если для него не указано сочетание клавиш.

Пароли Windows могут состоять из значительно большего количества символов, чем рекомендовано выше (восемь). На самом деле пароль может содержать до 127 символов. Однако, если вы работаете в сети, к которой также подключен компьютеры под управлением Windows 95 или Windows 98, используйте пароль, который содержит не более 14 символов. Если пароль длиннее 14 символов, может случиться, что вы не сможете войти в сеть с компьютеров, работающих под управлением этих операционных систем.

Намедни наткнулся на интересные выводы анализа недавно утекших учеток с серверов Sony. Думаю эти выводы будут интересны и актуальны.

Как известно, в последнее время Sony выступает мальчиком для битья среди хакеров. Благодаря Sony, много учетных записей и паролей циркулируют в интернете. Недавно, Трой Хант провел небольшой анализ этих паролей. Вот выдержка его поста:

Из примерно сорока тысяч паролей, треть подвержена простой атаке по словарю .
Только один процент паролей содержал небуквенно-цифровые символы.
93 процента паролей содержали от 6 до 10 символов.

В этом посте, мы исследуем остальные 24 тысячи паролей, которые выдержали атаку словарем.

Распределение символов

Как отмечает Трой, абсолютное большинство паролей содержало только один тип символов - или все в нижнем регистре, или все в верхнем. Однако, всё даже хуже, если мы рассмотрим частоту символов.

В базе паролей существуют 78 уникальных символов. Если эти пароли были бы по настоящему случайными, каждый символ должен встречаться с вероятностью 1/78 = 0,013. Но, когда мы посчитаем реальную частоту символов, мы явно увидим, что распределение не случайное. Следующий график показывает топ 20-ти парольных символов, а красная линия показывает ожидаемое 1/78 распределение.

Неудивительно, что гласные «e», «a» и «o» очень популярны, а также цифры «1», «2» и «0» (в этом порядке). Заглавные буквы не входят в топ двадцатку. Мы также можем построить график суммарной вероятности для символов. В этом графике, красные точки показывают ожидаемый паттерн при использовании настоящих случайных паролей (ссылка на график побольше).

Ясно, что пароли не так случайны как бы хотелось.

Порядок символов

Давайте рассмотрим порядок символов в пароле. Для простоты возьмем только 8-символьные пароли. Самая популярная цифра в пароле это «1». Если бы её расположение было случайным, то мы бы ожидали равномерное распределение. Но вместо этого мы получаем:
##Distribution of "1" over eight character passwords
0.06 0.03 0.04 0.04 0.13 0.13 0.22 0.34
Из этого следует, что из 84 процентов паролей, которые содержат цифру «1», эта цифра случается только во второй половине пароля. Ясно, что люди любят ставить единицу в конце пароля.

Та же картина с цифрой «2»:
0.05 0.05 0.04 0.05 0.13 0.11 0.30 0.27
И с "!"
#Small sample size here
0.00 0.00 0.00 0.00 0.00 0.11 0.16 0.74
Мы наблюдаем похожие паттерны и с остальными буквенно-цифровыми символами.

Число символов необходимых для угадывания пароля

Предположим, мы соберем все возможные пароли используя первые N самых популярных символов. Сколько паролей мы покроем в нашей выборке? Следующий график показывает пропорцию паролей покрытых в нашем списке используя первые N символов:

Для покрытия 50% паролей в списке, нам понадобилось 27 первых символов. Собственно, использование только 20 символов покрывает около 25% паролей, а использование 31 символа покрывает 80% паролей. Помните, что эти пароли не поддались атаке по словарю.

Итог

Обычно, когда мы подсчитываем вероятность угадывания пароля, мы предполагаем, что каждый символ выбирается с одинаковой вероятностью, то есть вероятность выбора «e» равна выбору «Z». Это явно неверно. Также, в последнее время много систем заставляют пользователей выбирать различные типы символов в паролях. А это так просто добавить циферку в конец. Я не хочу рассматривать эффективные техники подбора паролей, но понятно, что брутфорс не тот метод.

Лично, я забросил попытки запомнить пароли давным давно и просто использую менеджер паролей. Например мой Wordpress пароль длинее 12-ти символов и состоит из совершенно случайных цифр, букв и спец. символов. Конечно, вам лишь нужно держать свой менеджер паролей защищенным…

От переводчика: Да, я таки попал в категорию людей приписывающих единички и восклицательные знаки для обхода настырных сайтов.

Придумать хороший запоминающийся пароль становится все сложнее и сложнее, потому что нам приходится запоминать все больше и больше. Комбинация слов, фраз, цифр и их кодирование с помощью простых замен гарантирует, что ваша личная информация будет в безопасности. Одной из наиболее распространенных ошибок считается создание пароля на основе замены букв цифрами. Это может остановить большинство людей, но "хакерские" программы для взлома обычно в первую очередь проверяют именно такие замены. Важно создать пароль, в котором будет зашифрована достаточно личная информация, но этот пароль должен быть в должной мере сложным и комбинированным, чтобы гарантировать безопасность данных. Поэтому умение придумать подходящий пароль - решающий навык, который, несомненно, пригодится каждому.

Шаги

Используйте фразы

Создайте какое-то сложное слово. Например, получится легкий для запоминания пароль, если соединить три маленьких слова, которые для вас очень важны, превратив их в единый пароль. К примеру, если вам нужно создать пароль на латинице, это может быть: "moyasobakaspot" или "jenyajenadimy".

Подключите к паролю первые буквы предложения. Создайте пароль, используя первые буквы предложения или фразы, которая для вас что-то значит. Например, это может быть строчка из национального гимна или ваш личный слоган: "Не покупай, а закажи по интернету": "NpazpI".

Выберите два слова и объедините буквы этих слов. Выберите первую букву одного слова и вторую букву другого слова, повторяйте это до тех пор, пока не дойдете до последних букв каждого слова. Например:

Скажем, что самыми важными вещами для вас являются "semia" и "druzia".
Пароль: s d e r m u i z a i a

Придумайте фразу для пароля. Длина пароля - огромное преимущество для запоминания. Если вы можете запомнить фразу слово в слово, подумайте о том, чтобы сделать паролем фразу из книги, речи или фильма, например:
- "Это была темная и холодная ночь!"
- "Уважаемые россияне!"
- "Хьюстон, у нас проблемы".
- Длина поможет обеспечить безопасность пароля, даже если вы не включите в пароль специальные символы. Кроме того, такой пароль подойдет для сайтов, в которых при регистрации нельзя вводить символы.
- Добавьте пунктуацию и заглавные буквы к своей фразе, чтобы пароль соответствовал правилам.

Используйте коды

Возьмите слово или фразу и уберите из нее все гласные буквы. Например: "hochu cheeseburger" становится "hchchsbrgr".

Переместите пальцы на одну клавишу в сторону от привычного положения на клавиатуре. Если в вашем пароле не используются буквы Q, A, Z, можно переместить пальцы на одну букву влево (или вправо, если в пароле нет букв P,L,M). Пароль "speed racer" затрагивает крайние буквы обеих сторон, но, например, слово "wikiHow" может стать кодом "qujugiq" или "eolojpe". Можно также сдвинуться на одну букву вверх и затем вправо или влево. Тогда вместо "wikiHow" получится "28i8y92" или "39o9u03".

Можно взять год, который сейчас идет, и первые три буквы текущего месяца. Затем добавьте три буквы из своего имени. В таком случае, пароль получится такой: "2017oktDim". В следующем месяце можно поменять его на "2017noyaDim". Такой пароль невозможно повторить дважды или забыть.

Объедините какие-нибудь даты в один большой пароль. Так будет легче менять его время от времени. Помните, никогда нельзя использовать в качестве пароля одну лишь дату. Если у вас пароль из одной лишь даты, высок риск того, что его взломают.

Выберите любимую часть из книги и используйте какое-то слово из этой части. Например, если ваша любимая книга: "Глаз мира" Роберта Джордана, а ваш любимый отрывок - это второй абзац на странице 168, можно взять слово из этого отрывка. Например, используйте в качестве пароля слово "Draghkar". Можно сделать пароль "2Draghkar168". 2 - это номер абзаца, а 168 - номер страницы.

Продублируйте пароль

Перетасуйте буквы и цифры

Если вы будете произносить буквы и цифры вслух, пока вводите их, то услышите закономерность и быстрее запомните пароль.
Можно объединить несколько перечисленных выше методов и придумать незабываемый и совершенно безопасный пароль.
Самый высокий уровень безопасности у тех паролей, которые состоят из букв, заглавных букв, цифр и символов. Можно придумать пароль с первыми четырьмя символами или с символами от трех до семи (как захотите). Вам не придется останавливаться и вспоминать, где же вы поставили этот восклицательный знак, заменили ли вы S на 5 или $ в этот раз.
Не стоит использовать цифры и числа, которые вы знаете, но не используйте те, которые никак не относятся к вашей реальной жизни или к раскладке клавиатуры. Например: NYC2023334444.
Придумывая мнемоническое предложение, постарайтесь сделать его смешным и наиболее приспособленным для себя. Таким образом, вам будет легче запомнить само предложение и пароль.

Предупреждения

Убедитесь в том, что вы не используете один и тот же пароль повторно. Очень заманчиво использовать один пароль для всех сервисов. Но для всей личной и финансовой информации должны быть разные пароли.
Не используйте в качестве пароля личную информацию (например, номер телефона, адрес или номер медицинского страхования).
Не используйте пароли, которые приведены в этой статье в качестве примеров! Кто-то может увидеть их и взломать ваш аккаунт. Создайте свой собственный пароль!