Пароль безопасности

Содержание

Как сделать пароль надежным и запоминающимся

Пароль безопасности
Пароли стоят на страже наших данных. И степень их надежности играет важную роль. Понятно, что сложный пароль и взломать будет непросто. Вот только личных счетов и систем, требующих авторизацию, очень много. И помнить десятки, если не сотни различных комбинаций из символов — практически невозможно.

Как сделать пароль более надежным и при этом его не забыть? Есть несколько вариантов…
Шифры замены — класс методов шифрования, существующий практически столько же, сколько и алфавит. Его суть состоит в замене букв другими буквами, числами или символами (отсылка к криптографии).

Не углубляясь в особенности и тонкости шифра, можно выбрать самый простой метод шифрования — тот, где заменяется каждая буква следующей за ней в алфавите. Для примера возьмем слова «cat» и «dog». Зашифровываем: за с в алфавите идет d (c=d), за a будет b (a=b), ну и за t следует u (t=u).

Ta же формула и для второго слова: d=e, o=p, g=h. В результате получаем два шифра — dbu и eph.

Шифр простой замены букв (через две) Шифр простой замены нельзя назвать очень уж надежным. Его совсем не сложно взломать, если сопоставить несколько зашифрованных предложений или знать принципы использования. Но можно поэкспериментировать и разнообразить метод. Например, задать собственный порядок замены букв, добавить числа и т.д.
Один из вариантов шифрования, описанного в рассказе Конана Дойля «Пляшущие человечки» Можно воспользоваться излюбленным методом фокусников и магов — мнемоникой. Она помогает визуализировать объект с помощью его полного описания, упрощая тем самым запоминание или идентификацию. Подобный принцип используется в известной поговорке про цвета радуги: «Каждый (Красный) охотник (Оранжевый) желает (Желтый) знать (Зеленый), где (Голубой) сидит (Синий) фазан (Фиолетовый)». В упрощенном виде все выглядит примерно так: «а — это ананас, б — это банан, в — это вишня». Для построения пароля, используйте слова, соответствующие буквам.

Запоминание последовательности цветов радуги

Например, нужно создать пароль для сайта bank.com. Возьмем за основу код из первых двух букв от названия веб-ресурса «b» и «a».

Согласно конструкции «b is for banana, a is for apple» получится «bananaapple». Добавьте между ними дефис и пароль приобретет еще и необходимый символ.

А если объединить это все с шифром простой замены, пароль для bank.com станет по-истине надежным nsmsms=s[[;r.

Технический директор компании по сетевой безопасности Panda Security Луис Корронс предлагает следующий вариант:Чтобы сделать пароль уникальным для каждого сайта (без необходимости его записывать) можно добавить название веб-ресурса в его конец. Рассмотрим подробнее на примере все того же сайта bank.com. К выбранному паролю в конце добавим приставку “-bank”. Получится более сложная конструкция, делающая пароль и понятным и сложным. Тоже самое проделываем с учетными записями в социальных сетях “-“, “-” и “-linkedin” или сокращенные варианты вроде “-twit”, “-face” и “-link”.
Есть компании, которые вынуждают своих клиентов менять пароли раз в полгода или год. Тут тоже можно найти решение. Просто добавляйте необходимый год, квартал к началу или концу пароля. Возьмем за основу уже знакомый пароль «banana», добавим к нему наступающий 2016 год и 1-й квартал. Получается banana-16-q1. А если произвести перемещения всего по одному ключу на клавиатуре, пароль существенно усложнится и обретет вид nsmsms=3-25=j3. И вот — наш уникальный пароль, довольно сложный, надежный, который можно запомнить и без особого труда регулярно изменять (по месяцам или годам). Помимо шифровки стоит поговорить и о качестве самого пароля. Его длина имеет важное значение. Полный набор включает 26 строчных букв, 26 прописных и 10 цифр. Также в пароле может использоваться приблизительно 30 специальных знаков. Это все говорит о том, что для каждого символа, добавленного к паролю, число возможных вариантов увеличивается в 90 раз. По словам генерального директора фирмы сетевой безопасности FlowTraq Винсента Берка:Большинство веб-сайтов и компаний нуждаются в паролях, которые насчитывают комбинацию как минимум из 10 символов нижнего и верхнего регистра, при этом включают число и один или несколько специальных знаков
В последнее время специалисты по безопасности рекомендуют увеличивать длину пароля вообще до двенадцати знаков. По их мнению 12 — минимум. Данная теория сформировалась на основе исследования, которое было проведено в Технологическом институте (штат Джорджия, США). Исследователи использовали группы видеокарт, чтобы взломать восьмизначные пароли и пришли к выводу, что для этого достаточно двух-трех часов. Для взлома были задействованы графические процессоры — системные компоненты, разработанные для удовлетворения потребностей современных геймеров. Пароли из семи символов квалифицируются, как «безнадежно несоответствующие». Исследователи, занимающиеся вопросами безопасности данных, пришли к заключению, что на взлом паролей из двенадцати символов с современными технологиями уйдет около 17,000 лет. Правда, технологическое развитие настолько стремительно, что сложно давать точные прогнозы. Разумеется, не одна только длина делает пароль надежным. Он не должен быть легким для угадывания или предсказуемым. Например, пароль LadyGaga — хорош только для преданного поклонника или для самой певицы. Набор цифр 1234567890 тоже не пойдет — слишком очевидно, что даже ребенок может его взломать, набирая подряд все десять цифр на клавиатуре. Ненадежной будет и комбинация из серии password1234, пусть даже она состоит из двенадцати символов. Стоит придумывать сложные и не распространенные пароли. Лучше избегать слов, которые можно найти в словарях любого языка. Популярные замены букв числами (0 вместо «o», 4 вместо «a») не играют особой роли. Не желательно повторять один и тот же пароль много раз. Хотя именно это и делают пользователи, согласно ноябрьскому исследованию RSA 69%. Результаты продемонстрировали, что потребители многократно используют однажды придуманный ими пароль (при том, что почти 50% из них были жертвами атак со стороны хакеров). Большинство экспертов по безопасности сходятся во мнении, что пароли должны быть легко запоминающимися, но трудно угадываемыми. Слишком сложные и непонятные комбинации из символов попросту забудутся. А записывать пароли на стикерах, бумажках, в блокнотах или где-то еще — не самая удачная идея. Тут уж лучше ограничится подсказкой, понятной только хозяину, но не кому-то другому. Один из параметров, делающий пароль более сложным, состоит в том, чтобы использовать действительно жесткие конструкции. Вряд ли кто-то сможет запомнить набор из двадцати знаков, вроде GdzIQaZyVaFgbh7dlu46. Фактически, такие пароли довольно «болезненно» использовать вообще. С другой стороны, их в самом деле будет трудно взломать. Подобные пароли хороши для систем, требующих особой безопасности и не используемых часто.

В качестве пароля можно использовать фразу, предварительно кодируя ее. Например на английском «I want to be at the beach» в кодировке может выглядеть, как iw2b@theBeach.

Запоминающийся пароль, который будет достаточно сложным для взлома. Под каждую систему возможно подобрать различное окончание. Некоторые системы позволяют даже использовать полные предложение в качестве паролей.

Такие пароли не забудутся и будут довольно надежными.

В целях повышения безопасности данных известным облачным хранилищем данных Dropbox был создан список из паролей, которые запрещено использовать. В списке находится около 85100 паролей. А Университет Южного Уэльса провел исследования, результаты которого показали, что: 4,7% пользователей используют пароль password; 8,5% пользователей выбирают один из двух вариантов: password или 123456; 9,8% пользователей выбирают один из трёх вариантов: password, 123456 или 12345678; 14% пользователей выбирают один из 10 самых популярных паролей; 40% пользователей выбирают один из 100 самых популярных паролей; 79% пользователей выбирают один из 500 самых популярных паролей; 91% пользователей выбирает один из 1 000 самых популярных паролей. А вот топ-25 самых популярных паролей в мире:password 123456 12345 12345678 qwerty 123456789 1234 baseball dragon football pussy 1234567 monkey letmein abc123 111111 mustang access shadow master michael superman 696969 123123

batman

Источник: https://habr.com/ru/company/ua-hosting/blog/273373/

Создание и использование надежных паролей

Пароль безопасности

Security Windows 10 Windows 8.1 Windows 7 Больше…Основные параметры

Обеспечение безопасности паролей — один из важнейших способов обеспечить защиту и надежность вашей работы в Интернете. Хорошая новость! Защита паролей — полностью в ваших руках, достаточно создать надежные пароли и сохранить их в секрете. Выполните эти рекомендации, чтобы обеспечить безопасность своих паролей.

Обеспечение безопасности пароля начинается с его надежного создания. Надежный пароль:

  • По крайней мере 12 символов (более 14 символов лучше)
  • Сочетание прописных, строчных букв, цифр и символов
  • Не является словарным словом
  • Не является именем или популярным названием, например имя персонажа, продукта или организации
  • Существенно отличается от использованных ранее
  • Пароль должен быть таким, чтобы вам было легко его запомнить, а другим — сложно отгадать
  • Используйте запоминающуюся фразу, например “6СмотрящихОбезьянок”

Создав надежный пароль, выполните инструкции ниже, чтобы обеспечить его безопасность:

  • Никому не сообщайте свой пароль. Даже друзьям и родственникам!
  • Никогда не отправляйте пароль по почте, в мгновенном сообщении или любыми другими средствами связи, кроме надежно защищенных.
  • Используйте уникальный пароль для каждого веб-сайта. Если кто-то похитит пароль, который вы используете на нескольких веб-сайтах, вся информация, защищаемая этим паролем на всех этих сайтах, окажется под угрозой.
  • Если вы не хотите запоминать множество паролей, воспользуйтесь диспетчером паролей. Лучшие диспетчеры паролей автоматически обновляют сохраненные пароли, хранят их в зашифрованном виде и требуют многофакторной аутентификации для доступа.
  • Не храните пароль на устройстве, которое защищается этим паролем.
  • Можно записать пароли, но обязательно хранить их в безопасном месте. Не записывайте их в заметках или на карточках, которые хранятся рядом с тем, что защищают эти пароли, даже если вы уверены, что они хорошо скрыты.Или подсказка…Вместо того чтобы записать пароль, запишите подсказку о том, что это за пароль. Например, если ваш пароль — “ПарижскийВесеннийОтпуск!”, можно написать “Моя любимая поездка”.
  • По возможности сразу меняйте пароли на учетных записях, если вы подозреваете, что учетные записи или пароли были скомпрометированы.
  • Старайтесь вводить пароли только на устройствах, в безопасности которых вы уверены. На устройствах общего пользования может быть установлено ПО для записи нажатых клавиш, которое “запишет” ваш пароль во время ввода. Не разрешайте сохранять или передавать ваш пароль на общедоступных компьютерах.
  • По возможности пользуйтесь многофакторной аутентификацией. Многофакторная аутентификация — это метод контроля доступа, требующий проверки нескольких учетных данных, например пароля и PIN-кода. Это обеспечивает дополнительную безопасность на случай, если кто-то угадает или похитит ваш пароль. Подробную информацию см. в статье Что такое многофакторная проверка подлинности.

Совет: Если вас попросят создать ответы на вопросы безопасности, предоставьте несвязанный ответ. Например, если задают вопрос: “Где вы родились?”, можно ответить “Зеленый”. Такие ответы не найдешь на ваших страницах в Твиттере или . (Однако эти ответы должны иметь смысл для вас, чтобы вы их запомнили).

Злоумышленники могут пытаться взломать ваш пароль, но иногда проще сыграть на человеческих слабостях и обманом заставить вас раскрыть его. 

Вы можете получить сообщение якобы от интернет-магазина (eBay или Amazon) или звонок из “банка”, и вас попытаются убедить предоставить пароль или другую конфиденциальную информацию. Это может быть фишинговое сообщение. (Возможно, вы слышали о социотехнике.)

Вот некоторые полезные рекомендации для защиты паролей и других конфиденциальных сведений.

  • Будьте осторожны, если кто-то запрашивает у вас конфиденциальную информацию, даже если это ваш знакомый или компания, которой вы доверяете. Злоумышленник может похитить учетную запись вашего друга и разослать сообщения всем пользователям в адресной книге. Обращайтесь к любым непрошеным запросам конфиденциальной информации с осторожностью.
  • Никогда не предоставляйте свой пароль в ответ на запрос по электронной почте или телефону (например, чтобы подтвердить личность), даже если кажется, что к вам обращается человек или компания, которой можно доверять.
  • Всегда осуществляйте доступ к веб-сайтам по доверенным ссылкам. Мошенники могут копировать внешний вид сообщений компании, которой вы доверяете, и вставить туда мошенническую ссылку или вложение, так что будьте осторожны со ссылками в рассылках, мгновенных сообщениях и SMS. Если у вас возникли сомнения, перейдите сразу на официальный веб-сайт банка или другой службы, к которой вы пытаетесь получить доступ, используя собственную закладку или указав официальный адрес службы.

Источник: https://support.microsoft.com/ru-ru/windows/%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B8-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%BD%D0%B0%D0%B4%D0%B5%D0%B6%D0%BD%D1%8B%D1%85-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9-c5cebb49-8c53-4f5e-2bc4-fe357ca048eb

Эти 7 шагов помогут вам придумать идеальный пароль

Пароль безопасности

Используйте эти 7 советов, чтобы модифицировать свои пароли, и создать первоклассную защиту своих данных в Интернете.

Ваши пароли – это первая линия защиты ваших данных от мошенников в Интернете. Но мало кто действительно задумывается о том, что надежный пароль – это действительно важно. Не стоит использовать какие-либо отсылки к фильмам или музыке при выборе пароля. Также не стоит придумывать одинаковые пароли для нескольких учетных записей. Да, нюансов и, правда, много.

Признайте это: ваши пароли не слишком надежны. Рекомендации, представленные ниже, являются делом первой необходимости. Отнеситесь к ним настолько же серьезно, как и к чистке зубов по утрам или употреблению овощей.

1.   Используйте менеджер паролей.

Хороший менеджер паролей, например, 1Password или LastPass, создает надежные и уникальные пароли для всех ваших учетных записей. Это означает, что если один из ваших паролей действительно попадет в руки преступников, у них не будет «ключа» к остальным вашим аккаунтам.

Лучшие менеджеры паролей могут быть синхронизированы между компьютером и смартфоном и имеют функцию автозаполнения. Теперь вместо того, чтобы запоминать десятки тщательно продуманных паролей, вам просто нужно подобрать один мастер-ключ к ним. Как сделать его максимально надежным? Читайте дальше.

2.   Создайте длинный пароль

Несмотря на то, что уникальные символы и прописные буквы важны, длина также имеет большее значение.

Как только вы придумываете пароль в диапазоне 12-15 символов, хакеру становится намного сложнее использовать атаку брутфорс, чтобы отгадать его.

Однако будьте осторожны: не следует использовать отсылки к фильмам или поп-культуре, а также определенные заготовленные шаблоны.

3.   Разнообразьте свои пароли.

Если вы все-таки решили использовать специальные символы, поступайте мудро – не пытайтесь добавить их только в начале, середине или конце пароля. Расставьте спецзнаки по всему паролю, что еще больше запутает хакера.

4.   Ничего не меняйте.

Ваш корпоративный ИТ-менеджер заставляет вас менять пароль каждые три месяца? Знаете, он в корне не прав. Чем реже вы меняете пароль, тем меньше вероятность того, что вы забудете его или создадите новый по имеющемуся шаблону. Например, если вы каждый раз меняете цифру в конце пароля, это значительно облегчает проведение взлома для злоумышленников.

5.   Один сайт – один пароль.

Если вы уже пользуетесь менеджером паролей, эта рекомендация не для вас. Но если вы еще не готовы довериться такой программе, по крайней мере, убедитесь, что вы не используете одни и те же пароли для разных учетных записей.

Если вы так поступаете, то кража вашего пароля от социальной сети ВК может стоить вам несколько тысяч рублей с вашей банковской карты. Мошенник просто использует этот пароль для получения доступа к вашему аккаунту с деньгами.

На сайте Have I Been Pwned зарегистрировано 5 миллиардов скомпрометированных паролей. Если хоть один совпадает с вашим, считайте, что вас уже взломали.

6.   Не доверяйте своему браузеру.

Конечно, это очень удобно, когда вы можете вместо использования платной учетной записи в менеджере паролей воспользоваться своим браузером, ведь он сам по себе способен сохранить конфиденциальные данные для ваших аккаунтов.

Вы и так знаете об этом и, вероятно, даже используете эту функцию по крайней мере в отношении хотя бы одного сайта. Не стоит больше этого делать.

Такие пароли очень редко хорошо защищены от злоумышленников, поэтому если вам жалко денег, используйте бесплатный менеджер паролей, такой как Dashlane, вместо того чтобы доверять свои данные Chrome.

7.   Двухфакторная аутентификация.

В наши дни одного пароля недостаточно. Многие сервисы, которыми вы пользуетесь сейчас (социальные сети, банки, Google), имеют дополнительный уровень защиты.

Он представлен в виде кода, отправленного на ваш телефон по SMS, или в виде программы, такой как Google Authenticator, или в виде специального оборудования, такого как YubiKey.

SMS хватает для большинства людей, просто запомните, что одного надежного пароля часто недостаточно.

По материалам Wired.
Изображение на обложке: Wired

Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.

Источник: https://exploit.media/security/password-protection/

Как обеспечить безопасность ваших паролей

Пароль безопасности

Как сделать так, чтобы никогда больше не волноваться, что ваши персональные данные могут достаться злоумышленникам? Рассмотрим список рекомендаций, как сделать любой ваш пароль безопасным

Андреас Хайссель, специалист компании TeamViewer

Безопасность паролей – один из вопросов, которые постоянно беспокоят современного человека. Конфиденциальность частной жизни во многом зависит от степени секретности паролей. Как сделать так, чтобы никогда больше не волноваться, что ваши персональные данные могут достаться злоумышленникам?

Сегодня доступ  практически к любой частной и коммерческой информации или приложению осуществляется по паролю и требует регистрации. Поскольку безопасность паролей критична, это является важной частью работы ИТ-специалистов – в их задачи входит помощь сотрудникам с выбором паролей, поскольку многие из них делают одну ошибку за другой.

Если вам не повезет, взломанный пароль может помочь хакерам получить конфиденциальную информацию, украсть деньги, повредить данные или заблокировать доступ к вашим аккаунтам. Это может нанести серьезный вред, а восстановление информации займет несколько месяцев или даже лет.

Выбор пароля считается чем-то вроде развлечения, но это не так, и каждый пользователь должен периодически освежать в своей памяти правила создания надежного пароля.

Давайте пройдемся по списку рекомендаций, как сделать пароль безопасным.

Перестаньте быть предсказуемыми

Нас всех учили, как создать надежный пароль по одной и той же методике. Онлайн-подсказки требуют от нас использовать в пароле заглавные буквы, цифры и некоторые пунктуационные знаки.  Увы – хакерам этот образец тоже известен.

В результате все мы:

  • начинаем пароль с одного полюбившегося нам слова и делаем его основой нашего пароля,
  • первую букву этого слова делаем заглавной,
  • добавляем число или восклицательный знак в конце пароля, чтобы автоматическая подсказка не придралась к качеству нашего пароля,
  • и –вуаля – мы получаем «совершенный» пароль: «Ninja1!»

Поскольку мы уверены в его неуязвимости (ведь он удовлетворяет всем требованиям!), мы считаем, что никто в мире его не разгадает. Однако методом социального инжиниринга или с помощью другой методики наш пароль легко можно вычислить.

Единственный путь избежать этого – не быть столь предсказуемыми.

Никогда больше не используйте пароли из одного слова!

Первым шагом к безопасности пароля будет отказ от использования пароля в одно слово. И не по причине, что однословный пароль очень короткий, а потому, что такой пароль очень предсказуемый.

Знаете ли вы, что существуют базы данных, используемые хакерами, которые содержат все слова в любом языке? Цель этих баз – помочь хакерам разгадать пароли простым перебором слов. Этот метод называется атакой со словарем, которая также может происходить в форме атаки с радужной таблицей.

Безусловно, преимуществом пароля в одно слово в том, что его проще запомнить, чем любой другой. Но с точки зрения безопасности, простота не может рассматриваться в качестве главного критерия при выборе решения. Во главу угла нужно ставить безопасность.

В реальности, согласно информации Better Business Bureau, самые распространенные пароли – не всегда слова.

Ниже приведем список из 10 паролей, наиболее часто использовавшихся в 2014 году – поверьте, ни один из них не годен в качестве пароля для вашего банковского аккаунта:

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. 123456789
  7. 1234
  8. Baseball
  9. Dragon
  10. Football

Более сложные пароли могут быть одновременно как более безопасными, так и легче запоминающимися. Что же обеспечит безопасность пароля? Ответ вы найдете ниже.

Длинные и надежные пароли

Можно ли сделать пароль длинным и одновременно запоминающимся? Существуют небольшие уловки.

Прежде всего, надежные и запоминающиеся пароли состоят из нескольких слов.

Как вы думаете, PieceOfCake будет надежным паролем?

Увы, нет. Первое правило многословного пароля – использование нескольких, не связанных между собой слов, но которые имеют к вам непосредственное отношение.

CoffeeLobsterMarathon (кофе, лобстер, марафон) – неплохой пример для такого сочетания. А общее впечатление от произнесения сочетания этих трех слов столь неприятно,  что запомнить этот пароль будет очень легко.

MaximFavoriteColorIsGrey (любимый цвет Максима – серый) – Возможно, знание любимого цвета вашего знакомого Максима – большая редкость. Такой пароль будет сложно разгадать.

Второй этап создания надежного пароля – заменить буквы пароля – вы это можете угадать – цифрами и специальными символами.

Как результат – C0ff33L0b$t3rM8r8th0n и D8v3sF8v0r1t3C0l0r1sGr3y.

Сравните их с первоначальным “Ninja1!”.

Используйте уникальные пароли для каждого аккаунта

Я знаю – на этот совет найдутся возражения, что пароли для каждого аккаунта запомнить невозможно. Но, пользуясь рекомендациями ниже, это вовсе несложно.

При этом ваш выигрыш – огромен!

Есть ли среди ваших знакомых те, которые используют один пароль на все случаи жизни?

Поверьте, таких людей очень много!

Это настоящая угроза для информационной безопасности. Всего лишь одна утечка в какой-либо системе, где вы регистрировались, и все ваши аккаунты автоматически становятся доступными.

Если ваше имя, адрес электронной почты и пароль окажутся доступными злоумышленникам из-за взлома лишь одного сервиса, сайта или компании, с которой вы работали, – хакеры непременно попробуют использовать эти регистрационные данные для доступа в другие системы.

Но если у вас установлены разные пароли, хакерам ничего не светит. Выигрыш в безопасности очевиден.

Но как же возможно запомнить каждый уникальный пароль?

Наилучший способ запомнить ваши пароли (менеджер паролей)

Запоминать каждый пароль, который мы создаем, непрактично. Исключение – те пароли, которые мы используем каждый день. Однако, в большинстве случаев мы пользуемся аккаунтами от случая к случаю. Наша память может легко нас подвести, и нам потребуется помощь для восстановления пароля.

Менеджеры паролей – это безопасные приложения, которые помогают  хранить и упорядочивать наши пароли. Единственный пароль, который вам нужно будет запомнить, – пароль к самому менеджеру паролей.

Если вы усвоили наши рекомендации, приведенные выше, вы создадите надежный пароль для этого приложения.

Регулярно меняйте пароли

Старые пароли нужно менять. Многие люди рассматривают этот совет в качестве доброй рекомендации или бесполезного беспокойства. Но существуют жесткие аргументы в пользу того, что пароли нужно менять регулярно, чтобы повысить Интернет-безопасность.

Например, атаки типа  brute-force, т.е. криптоанализ методом прямого перебора, используются для разгадывания паролей. Здесь осуществляется простой перебор всех возможных комбинаций печатных символов. Единственным ограничением для такой атаки служит время, требуемое для достижения желаемого результата. Хотя – нередко это время оказывается удивительно коротким!

В частности, для того, чтобы взломать наш пароль “Ninja1!”, согласно данным сайта How Secure is my Password, требуется всего 7 минут!

Меняя пароли, можно минимизировать риск, что атака brute-force окажется успешной. Более того, это существенно снизит риски при утечке базы данных паролей.

Не сообщайте никому свои пароли

Вы же не делитесь ни с кем своими паролями, так? Тем более, с незнакомыми людьми? Поскольку большинство из нас не зациклены на вопросах безопасности, мы можем угодить в ловушку злоумышленников легче, чем мы себе это представляем.

Если вы беспокоитесь, что ваш аккаунт может быть взломан, без промедления меняйте пароль! На сайте Haveibeenpwned вы можете проверить информацию, не был ли уже взломан ваш аккаунт.

Убедитесь, что ваш антивирус работает исправно

Какая связь между секретностью паролей и вирусами?

На самом деле, некоторые типы вирусов и зловредных программ могут отслеживать нажатие клавиш клавиатуры, в том числе при входе в аккаунты, и передавать эту информацию злоумышленникам.  В этом случае даже самый надежный пароль не защитит вас от взлома.

Таким образом, наличие антивируса на вашем компьютере является частью стратегии безопасности паролей.

Вирусы и другое вредоносное ПО часто использует бреши в операционной системе и приложениях, которые не устранены корректирующими обновлениями. Следовательно, ПО, установленное  на компьютере, необходимо также своевременно обновлять, чтобы избежать риска взлома.

Активируйте двухфакторную идентификацию

Двухфакторная идентификация послужит еще одним барьером для безопасности ваших паролей. После ввода пароля, система авторизации потребует дополнительный способ проверки подлинности для входа в ваш аккаунт.

В частности, вторым фактором проверки может выступать временный цифровой код, генерируемый приложением для аутентификации на вашем мобильном устройстве.

А в корпорации Intel считают, что даже наше тело может быть использовано в целях двухфакторной идентификации.

Доступ будет предоставлен в том случае, если логин (имя пользователя или адрес электронной почты), пароль и секретный код будут введены корректно. Двухфакторная идентификация – наиболее беспроигрышный путь обеспечить безопасность паролей, поскольку доступ не будет предоставлен без правильного ввода информации дополнительного способа проверки подлинности.

Безопасность паролей. Резюме

Если ваши пароли находятся в полной безопасности, вы чувствуете освобождения от вороха проблем. Как только к этому вопросу вы выстроите системный подход, практика создания надежного пароля  войдет в ваши привычки.

Резюмируя, безопасность паролей означает:

  • Избавьтесь от предсказуемости. Пароли типа“Ninja1!” нужно забыть
  • Никогда больше не используйтесь однословные пароли
  • Длинные и сложные пароли надежнее и хорошо запоминаются
  • Свой пароль для каждого аккаунта задержит хакеров
  • Менеджеры паролей –  полезное средство для безопасности паролей
  • Возьмите за правило менять пароли регулярно
  • Не разглашайте свои пароли
  • Работайте на устройствах, защищенных антивирусом
  • Используйте по возможности двухфакторную аутентификацию

Надеюсь, вы нашли наши советы полезными. Желаем вам быть всегда в безопасности!

Источник: https://www.comss.ru/page.php?id=3385

Как создать надёжные пароли и защищать систему с их помощью

Пароль безопасности

Мы часто слышим разные страшилки о том, что пароль надо чаще менять, не использовать стандартные логины и пароли, не использовать одинаковые пароли для разных нужд и т.п.

Кто-то трепетно следует всем рекомендациям, кто-то использует один дефолтный пароль на всё… в общем, рекомендации о безопасности все воспринимают по-разному.

В этом посте мы решили подойти к вопросу обстоятельно и без лишних эмоций рассказать о влиянии пароля на безопасность и о том, какие пассворды можно считать хорошими.

Как используется пароль в ходе идентификации и аутентификации

Для начала определимся с понятиями. 

Под идентификацией, согласно Википедии, понимается процедура, в результате которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе. Таким образом, субъект — это тот, кто проходит идентификацию в системе. 

Во время идентификации субъект предъявляет свой идентификатор, а система проверяет, есть ли такой идентификатор в системе. Если идентификатор в системе есть, субъект проходит идентификацию. Далее следует аутентификация — проверка того, принадлежит ли субъекту доступа предъявленный им идентификатор.

Ближайшим аналогом такой процедуры является предъявление пропуска на входе в вуз. В этом случае пропуск (а если точнее, данные, указанные в пропуске) выступает в роли идентификатора. Не предъявишь пропуск — не пройдёшь идентификацию и тебя не пустят на территорию вуза.

При этом у устройства (или охранника), которое проверяет пропуск, есть некая условная база идентификаторов. Когда субъект предъявляет свой идентификатор то система проверяет, есть ли такой идентификатор в базе. А иногда и то, для какого субъекта он задан.

Если ответ на этот вопрос является положительным (идентификатор есть в базе), то устройство пропускает субъекта, если нет — то не пропускает.

В рамках этой статьи мы не будем подробно разбирать вопросы, связанные с идентификацией, аутентификацией и авторизацией. Скажу лишь что проводимая проверка подлинности может быть односторонней или взаимной – клиент также может проверить сервер как сервер клиента.

Кроме того, согласно ГОСТ Р ИСО/МЭК 27000-2012 аутентификация – это в первую очередь обеспечение гарантии того, что заявленные характеристики объекта являются подлинными. А подлинность — свойство, указывающее, что объект представляет собой то, что он заявляет о себе.

 

Типичным идентификатором, как правило, является пароль. При этом считается, что пароль может знать только определённый субъект и отсюда растут ноги у всех проблем парольной защиты – пароль можно перехватить, подобрать, пароль может совпадать с именем пользователя, пароль может быть простым и т.п.

Поэтому рассмотрим некоторые требования безопасности, применяемые к паролям и средствам парольной защиты.

Требования к безопасности пароля и энтропия

Даже такой требовательный стандарт безопасности как PCI DSS (стандарт безопасности данных индустрии платёжных карт) предъявляет к пассворду всего два требования:

  • Наличие в пароле и цифр, и букв.
  • Длина — не менее семи символов.

Зато к системе использования пароля требования значительно больше, например:

  • Менять пароли и (или) парольные фразы пользователей, как минимум, один раз в 90 дней.
  • Не использовать групповые, общие и стандартные учётные записи и пароли.

В Windows, в групповых политиках паролей можно включить соответствие паролей требованиям сложности:

Если поставить галочку, система будет проверять, что ваши пароли:

  • Не содержат имени учётной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
  • Имеют длину не менее 6 знаков.
  • Содержать знаки трёх из четырёх категорий (т.н. «алфавит» пароля): латинские заглавные буквы (от A до Z), латинские строчные буквы (от a до z), цифры (от 0 до 9) и отличающиеся от букв и цифр знаки (например !, $, #, %)
  • Требования сложности применяются при создании или изменении пароля.

Все остальные требования применяются к процедурам, которые будут обрабатывать пароль, например к сроку хранения пароля.

Атаки полного перебора

Почему требования именно такие? Причина в том, что они важны при оценке устойчивости пароля к атакам полного перебора. Допустим, мы используем в качестве пароля слово «admin». Возможный алфавит для такого пароля состоит только из букв нижнего регистра, которых в алфавите 26. Длина самого пароля составляет 5 символов, поэтому число возможных комбинаций пароля составляет 11881376 (265).

Кроме того, существует такое понятие, как энтропия пароля. Согласно википедии, информационная энтропия — мера неопределённости некоторой системы в статистической физике или теории информации.

В нашем случае — это непредсказуемость появления какого-либо символа первичного алфавита. Для безопасности пароля учитывается т.н. «число бит энтропии» в пароле.

Для «случайного пароля» — такого пароля, источником энтропии для которого служит генератор случайных чисел — число бит энтропии рассчитывается по формуле:

Где

  • H – получаемая энтропия
  • R – длина набора символов, используемая в качестве пароля (т.н. «алфавит» для пароля)
  • L – число символов в пароле
  • RL – общее число возможных комбинаций пароля

Соответственно, возможно рассчитать ту длину пароля, которая будет при определённом значении энтропии:

Рассмотрим это на примере. Допустим, мы используем в качестве пароля слово «admin». Возможный алфавит для такого пароля состоит только из букв нижнего регистра, которых в алфавите 26. Длина самого пароля составляет 5 символов, поэтому энтропия для такого пароля будет составлять:

Таким образом, энтропия пароля «admin» составляет примерно 24 бит. А число возможных комбинаций для пароля длиной 5 символов из алфавита длиной 26 символов, как мы уже подсчитали, равно 11881376.

Тут надо понимать, что злоумышленнику не нужно подбирать все 11881376 вариантов. Пароль может подойти уже на второй, третьей попытке или не подойти вовсе (если начать перебор с середины возможных комбинаций). Именно поэтому для оценки сложности паролей оперируют понятием энтропии.

Энтропия при этом анализируется следующим образом: чтобы методом полного перебора найти пароль с энтропией в 24 бита, необходимо создать 224 паролей и попытаться использовать их при брутфорсе – один из 224 паролей окажется правильным.

Теперь рассмотрим обратный пример. Какая длина пароля обеспечит нам энтропию в 24 бит при использовании символов английского алфавита в нижнем регистре (длина алфавита – 26 символов)?

Если бы всё зависело только от энтропии… но при работе с паролями приходится учитывать ещё целый ряд дополнительных факторов.

Другие типы атак

Во-первых, пароль можно подобрать по словарю. В этом случае нельзя оперировать понятием энтропии пароля как мерой безопасности — не будет использован брутфорс отдельных символов.

К примеру, есть пароль «password@123». Энтропия такого пароля будет довольно-таки большой (72.5 бита).

Однако такой пароль довольно часто используется и поэтому периодически попадает в базы слитых паролей — 4263 раза.

Во-вторых, нельзя заранее сказать, какой алфавит использовался для создания пароля, что затрудняет использование энтропии для оценки устойчивости пароля к брутфорсу. Например, в качестве алфавита для пароля «password» вполне можно использовать набор символов ASCII, что существенно поднимает энтропию пароля.

Кроме того, при увеличении длины пароля растёт и его энтропия, например, энтропия пароля «-B:Sr%7w» составляет 52.4 бита а пароля «dLgIRSpti» — 51.3 бита. Из этого следует, что хоть первый пароль примерно в два раза сложнее второго, второй проще запомнить, хотя для него использовался более простой алфавит.

В-третьих, в качестве источника для энтропии должен использоваться надежный генератор случайных чисел. Можете почитать довольно полный обзор того, что используется в качестве источника для энтропии. 

Учитывая эти факторы, злоумышленник обычно пытается найти слабости в алгоритме идентификации и аутентификации, а не в пароле. Навскидку:

  • Пароль может быть достаточно сложным с точки зрения энтропии, но встречаться в словаре. Таких словарей даже в открытом доступе существует довольно много. Кроме того, можно проверить пароль на сайте Haveibeenpwned.com — встречался ли он в утечках данных.
  • Сам механизм идентификации (и аутентификации — если смотреть шире) может быть построен таким образом, что будет иметь слабости в реализации. Типичный пример — отсутствие блокировки субъекта если он более нескольких раз ввел пароль.
  • Слабости криптографического алгоритма генерации ключей (или случайных чисел, лежащих в основе ключей). Пример — атаки на протокол WPS, слабость аппаратной реализации алгоритма шифрования, уязвимости понижающие криптостойкость алгоритма шифрования (хэширования) и т. п.
  • Отсутствие «соли» (дополнительной случайной строки) при хранении пароля — хэш соответствует паролю. На Internet-technologies.ru есть гайд по этой теме.

По этим причинам большинство технологий идентификации и аутентификации зависят не только от параметров паролей, но и от организации самого процесса. К примеру, вот некоторые требования из стандарта PCI DSS 3.2, которые относятся к безопасности процедур, затрагиваемых паролями:

  • Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем.
  • Удалять все учётные записи разработчиков, тестовые учётные записи и/или учётные записи заказного приложения, идентификаторы пользователей и пароли перед передачей ПО заказчикам или переводом его в производственный режим.
  • Управлять уязвимостями, в частности убрать уязвимость «Некорректная обработка ошибок».

Кроме того, в этом же стандарте есть такие требования: «Идентифицировать и аутентифицировать доступ к системным компонентам». В них в частности входят:

  • Блокировать идентификатор пользователя не более чем после шести неудачных попыток входа подряд.
  • Менять пароли и/или парольные фразы пользователей как минимум один раз в 90 дней.
  • Запретить пользователю менять пароль и/или парольную фразу на какие-либо из четырёх последних паролей и/или парольных фраз данного пользователя, использованных им ранее.
  • Не использовать групповые, общие и стандартные учётные записи и пароли, а также прочие подобные методы аутентификации.

Настройка защиты паролей в ОС

Большинство из приведённых механизмов можно настроить на уровне ОС. Например, в Windows можно воспользоваться настройкой групповых политик (оснастка gpedit.msc для локального ПК или gpmc.msc для настройки групповых политик домена). Нажмите в ОС «Выполнить» и введите «gpedit.msc». Далее можно открыть редактор групповых политик:

В целом для усиления безопасности достаточно соблюдать ряд простых настроек.

Требования сложности пароля. Настройка реализуется по-разному, в ОС Windows всё достаточно понятно.

Обязательная регулярная смена пароля. Тут важно оценить, как часто необходимо менять пароль. Я рекомендую делать это чаще, чем можно подбирать пароль средствами брутфорса. В зависимости от алфавита такой срок может быть разным. В среднем это раз в три месяца для паролей, удовлетворяющих требованиям сложности в ОС Windows.

Ограничение числа ошибочных попыток ввода паролей. По достижению выбранного числа учётная запись блокируется. Это полезно для защиты от брутфорса. На скриншоте ниже такая политика не настроена, но вы видите, где это можно сделать:

Запрет использования ранее заданных паролей. Эта функция доступна в некоторых ОС, в частности в Windows. Для этого надо активировать соответствующую настройку:

Запрет использования одинаковых паролей для разных сервисов. Типичной является ситуация, при которой один и тот же пароль используется для разных сервисов. Это несёт серьёзную угрозу безопасности данных. Такое требование желательно вводить на уровне политики безопасности предприятия.

Как создать безопасный пароль

Большинство требований безопасности относится, скорее, к процедурам идентификации и аутентификации, однако по отношению к парольной защите можно выделить следующие:

  • Проверяйте пароли на сложность с учётом энтропии. У хорошего пароля энтропия должна быть не меньше 80 бит, а лучше больше. Для оценки эффективности энтропии можно использовать сайт Passwordstrengthcalculator.com или сервис Ae7.s, где пароль можно также сгенерировать. 
  • Старайтесь соблюсти баланс между сложностью запоминания пароля, его длиной, алфавитом и энтропией. 
  • Можно проверить пароли на утечку — не встречался ли пароль в БД, которые были использованы для взлома. Это можно сделать при помощи сервиса Haveibeenpwned.com
  • Если вы планируете разработку веб-сервиса и в этом сервисе предусматривается идентификация по паролю, то можно использовать возможности библиотеки zxcvbn. Эта довольно полезная библиотека позволяет оценить «безопасность» задаваемых паролей. Однако не стоит использовать особенности работы подобных утилит как критерий абсолютной истины. Доступна демоверсия.

Основа безопасности — это всегда хорошая политика. Требования к такой политике бывают разные, но почти всегда они где-нибудь описаны. Типичный пример — стандарт PCI DSS. Такие стандарты можно использовать как критерии для настройки конкретных параметров — например в ОС Windows. Примерный сценарий (с поправкой на возраст статьи :)) рассмотрен на сайте стандарта. 

Хотите узнать больше о безопасности информационных систем? А может даже найти работу в этой сфере? Тогда приглашаем вас на факультет информационной безопасности GeekUniversity!

Источник: https://geekbrains.ru/posts/kak-sozdat-nadyozhnye-paroli-i-zashchishchat-sistemu-s-ih-pomoshchyu

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.