Создание и проверка пароля на надежность. Как создать и запомнить надёжный пароль Создаем безопасный пароль

Сегодня мы поговорим о сохранности Вашей личной информации, и конечно познакомимся с несколькими полезными онлайн сервисами.

Что собственно говоря такое пароль? Это последовательность знаков в произвольном порядке, которая позволяет человеку сделать какую-то информацию недоступной для других людей. Это по сути гарантия того, что никто не сможет получить доступ к Вашей информации без Вашего на то ведома и согласия.

Но, друзья, насколько Вы уверены в том, что, защитив какой-то контент паролем, Вы отныне можете спать спокойно? Вы уверены в том, что придуманный Вами пароль невозможно узнать или подобрать? А как же сотни и тысячи случаев взлома сайтов (блогов) у людей, которые также как и Вы были полностью уверены в их недоступности для хакеров?

Как взламываются пароли

Секретное слово для доступа знаете только Вы и никто другой. Как же тогда возможно его подобрать? Всё очень просто: часто в качестве пароля используются даты либо обычные слова из словаря. Количество цифр и словарный запас человека ограничены – взлом паролей такого типа происходит обычно за несколько минут специальными программами, которые с молниеносной скоростью перебирают все возможные варианты.

Если набрать в поисковике Яндекса точную фразу «взломать пароль», мы получим 184 тыс. ответов с конкретными методами и способами осуществить это. Специалисты утверждают: на сегодняшний день уровень развития технологий и методов взлома таков, что подобрать можно абсолютно любой пароль, вопрос лишь во времени…

Проверяем пароли на устойчивость

Хотите прямо сейчас узнать, как быстро можно взломать Ваш пароль? Воспользуйтесь онлайн сервисом How Secure Is My Password . Он покажет Вам, сколько времени уйдет у хакеров, на то, чтобы подобрать Ваше секретное слово и даст Вам рекомендации по тому, что следует изменить.

Вот например результат анализа моего пароля к клиенту WebMoney (наверное я могу спать спокойно):

Создаем безопасный пароль

Если по результатам анализа выяснилось, что спать спокойно по крайней мере ближайшие несколько биллионов лет Вы можете не рассчитывать, предлагаю Вам воспользоваться услугой сервиса онлайн генератор паролей . Он поможет создать крайне надежный пароль, который отличается тем, что его невозможно взломать методом перебора. Для этого он должен содержать:

не менее 8 символов (лучше более 12)
строчные и прописные буквы алфавита
цифры
символы

Все опции легко настраиваются с помощью соответствующих чекбоксов. Я взял один из сгенерированных этим сервисом паролей и проверил его на скорость взлома. Результаты Вы может оценить сами:

Друзья, никто не позаботится о сохранности Ваших личных данных кроме Вас самих. Всегда лучше заранее предупредить неприятные последствия, чем потом решать возникшие проблемы. Описанные сегодня онлайн сервисы, как нельзя лучше помогут Вам предупредить возможные неприятности. Успехов!

Анализатор паролей SeaMonkey

Этот анализатор паролей разработан как часть проекта SeaMonkey – свободного набора программ для работы в Internet, созданного и поддерживаемого организацией Seamonkey Council, выделившейся из Mozilla Foundation. Сам механизм анализа пароля является частью . Алгоритм его работы заключается в вычислении веса пароля, основывающемся на данных о символах, из которых этот пароль составлен. Вес пароля вычисляется по следующей формуле:
pwstrength = ((pwlength * 10) - 20) + (numeric * 10) + (numsymbols * 15) + (upper * 10) , где

pwlength равно 5, если количество символов в пароле больше 5, или равно длине пароля;
numeric равно 3, если количество цифр в пароле больше 3, в противном случае - равно количеству цифр;
numsymbols считается равным 3, если число символов в пароле, отличных от букв, цифр и знаков подчёркивания, больше 3, иначе - количеству таких символов;
upper равно 3, если количество букв в верхнем регистре больше 3, или количеству заглавных букв в противном случае.

После вычисления вес пароля нормируется таким образом, чтобы его значение заключалось в интервале от 0 до 100. Нормировка проводится в том случае, когда значение веса не попадает в этот диапазон. В случае когда pwstrength меньше 0, значение pwstrength приравнивают к нулю, а когда больше 0, значение веса устанавливают равным 100. Ранжирование же пароля по степени стойкости оставлено на усмотрение разработчиков, использующих библиотеку.
Как видно, описанный анализатор не использует никаких проверок с использованием словарей, что делает его оценки несколько однобокими, и, вероятно, менее точными по сравнению с программами от Google и Microsoft, рассмотренными выше.

Password Strength Meter (jQuery plugin)

Ещё одним вариантом оценщика пароля, работающего на клиентской стороне, является Password Strength Meter () – плагин, разработанный для JavaScript фреймворка jQuery.
Процедура оценки работает следующим образом. Известно множество качеств, обладая которыми пароль увеличивает или уменьшает свою стойкость к подбору. Каждое такое качество имеет свой строго определённый вес. Алгоритм заключается в поэтапной проверке наличия у пароля этих качеств и, в случае их присутствия происходит увеличения суммарного веса пароля, по величине которого после просмотра всех характеристик делается заключение об уровне стойкости пароля.
Рассмотрим полный алгоритм процедуры оценки пароля:

Вес пароля устанавливается равным нулю.
Если длина пароля менее 4 символов, то работа алгоритма заканчивается и возвращается результат “слишком короткий пароль”. Иначе переходим к шагу 3.
Вес пароля увеличиваем на величину 4 * len , где len – длина пароля.
Осуществляется попытка сжатия пароля по следующему алгоритму. Если в пароле встречается подстрока вида SS , где S – строка длины 1, то первая часть этой подстроки удаляется и сжатие продолжается с позиции начала второй части этой подстроки. Например, применяя этот алгоритм к строке aaabbcab , на выходе получим строку abcab . После выполнения операции сжатия вес пароля уменьшается на величину len - lenCompress , где len – длина пароля, а lenCompress – длина пароля после сжатия.
Проводятся попытки сжатия пароля для случаев строк S длинной 2, 3 и 4 символов. Вес пароля уменьшается аналогично на величину len - lenCompress . Отметим, что сжатие каждый раз производится на проверяемом пароле, а не строках, полученных на предыдущих попытках.
Если пароль содержит не меньше 3 цифр, то увеличить вес на 5.
Если пароль содержит не менее 2 знаков, то увеличить вес на 5.
Если пароль содержит буквы как в верхнем так и в нижнем регистрах, то увеличить вес пароля на 10.
Если пароль содержит буквы и цифры, то увеличить вес пароля на 15.
Если пароль содержит знаки и цифры, то увеличить вес на 15.
Если пароль содержит буквы и знаки, то увеличить вес на 15.
Если пароль состоит только из букв или только из цифр, то уменьшить вес пароля на 10.
Если вес пароля меньше 0, то установить его равным 0. Если больше 100, то установить равным 100.
Пароль, вес которого меньше 34, признаётся “слабым”. Если вес от 34 до 67, то пароль относится к категории “хороший”, а если более 67, то пароль считается “отличным”.

Рассмотренный анализатор также как и продукт от SeaMonkey, не проводит проверку пароля по какому-либо словарю. К тому же остаётся открытым вопрос об обоснованности выбора тех или иных значений весовых коэфициентов при формировании оценки пароля.
Доступна , демонстрирующая возможность данного плагина.

Cornell University - Password Strength Checker

Официальный on-line сервис , предоставляемый центром безопасности Корнелльского университета (Итака, США). С его помощью пользователи могут проверить свой пароль, заполнив web-форму и отправив его на проверку. Оценка пароля, как и в случае с сервисом Google, производится на стороне сервера.
Реализация алгоритма не раскрыта для общего доступа, однако в описании сервиса указаны требования, которым должен удовлетворять пароль, чтобы проверка прошла успешно:

пароль должен иметь длину не менее 8 символов;
при составлении пароля используются символы по крайней мере трёх алфавитов из следующего списка:
- заглавные латинские буквы
- строчные латинские буквы
- цифры
- специальные знаки (такие как! * () : |)
пароль не должен содержать слов из словаря;
пароль не должен содержать последовательностей повторяющихся букв (например, ААА) и последовательностей вида abc, qwerty, 123, 321.

Эти требования должны строго выполняться. Если хотя бы какое-то требование не выполняется, то пароль признаётся ненадёжным.
К такому подходу можно сделать следующее критическое замечания. Так пароль произвольно большой длины, например, какое-то предложение на естественном языке, не будет удовлетворять условию №3, что автоматически обеспечит паролю низкую оценку, хотя это, может быть, и не совсем оправдано.

Password Strength Tester

JavaScript анализатор паролей , который разрабатывается и поддерживается в рамках проекта Rumkin.com.
Алгоритм оценки, реализованный в данном анализаторе, основывается на общих положениях теории информации. В качестве основной оценки пароля используется его энтропия, вычисление которой производится с использование таблиц диграмм для английского языка.
Под энтропией (информационной ёмкостью) пароля понимается мера случайности выбора последовательности символов, составляющих пароль, оцененная методами теории информации.
Информационная ёмкость E измеряется в битах и характеризует стойкость к подбору пароля методом полного перебора при условии отсутствия априорной информации о характере пароля и применении злоумышленником оптимальной стратегии перебора, при которой среднее ожидаемое количество попыток до наступления удачной равняется 2 E -1 . По утверждению создателя этого оценщика с целью уменьшения загружаемого на клиентскую сторону объёма информации все небуквенные символы были объединены в одну группу. Эта группа выступает неким универсальным символом, который и используется в частотной таблице. Как отмечает разработчик, при данном допущении значение получаемой энтропии будет меньше, нежели в случае, когда в частотной таблице все символы представлены раздельно.
В зависимости от полученного значения энтропии паролю присваивается соответствующая характеристика его стойкости.

Энтропия

Уровень стойкости

Многие сайты пытаются помочь пользователям установить более сложные пароли. Для этого устанавливают базовые правила, которые требуют обычно указать хотя бы одну прописную букву, одну строчную букву, одну цифру и так далее. Правила обычно примитивные вроде таких :

"password" => [ "required", "confirmed", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d])\S*$/", ];
К сожалению, такие простые правила означают, что пароль Abcd1234 будет признан хорошим и качественным, так же как и Password1 . С другой стороны, пароль mu-icac-of-jaz-doad не пройдёт валидацию.

Вот первые два пароля.

А вот два пароля, которые не пройдут проверку на надёжность.

Что же делать? Может, не стоит принуждать к использованию спецсимволов и внедрять всё новые правила, вроде запрета на повтор нескольких символов подряд, использование не одного, а двух-трёх спецсимволов и цифр, увеличение минимальной длины пароля и т д.

Вместо всего этого достаточно сделать простую вещь - просто установить ограничение на минимальную энтропию пароля, и всё! Можно использовать для этого готовый оценщик zxcvbn .

Есть и другие решения, кроме zxcvbn. Буквально на прошлой неделе на конференции по безопасности ACM Computer and Communications Security была представлена научная работа (pdf) специалистов по безопасности из научно-исследовательского подразделения Symantec Research и французского исследовательского института Eurecom. Они разработали новую программу для проверки надёжности паролей, которая оценивает примерное количество необходимых попыток брутфорса, используя метод Монте-Карло . Предлагаемый способ отличается тем, что требует минимальное количество вычислительных ресурсов на сервере, подходит для большого количества вероятностных моделей и в то же время довольно точный. Метод проверили на паролях из базы 10 млн паролей Xato, которые лежат в открытом доступе (копия на Archive.org) - он показал хороший результат. Правда, это исследование Symantec Research и Eurecom носит скорее теоретический характер, по крайней мере, свою программу они не выложили в открытый доступ в каком-либо приемлемом виде. Тем не менее, смысл работы понятен: вместо эвристических правил проверки паролей веб-сайтам желательно внедрить проверку на энтропию.

Друзья, сегодня у нас очень интересная тема и впереди три не менее интересных вопроса. Насколько надежным является мой пароль? Сколько потребуется времени, чтобы его взломать? Как сделать пароль более-менее надежным?

На эти вопросы отвечает сервис «How Secure Is My Password?», что в переводе звучит так: «Насколько надежен мой пароль».

Официальный сайт: http://www.howsecureismypassword.net/

Выглядит этот сервис следующим образом:

Нам достаточно ввести пароль и проверить его надежность.

Давайте добавим в основное окошко сайта комбинацию цифр 12345678, и посмотрим, что нам «скажет» этот сервис:

Система выводит следующее:

Пароль 12345678 входит в ТОП-10 самых распространенных паролей и может быть взломан мгновенно.
Нежелательно использовать пароль в виде даты рождения или телефонного номера.
Наш пароль содержит только буквы и цифры (в данном случае это только цифры). Система рекомендует дополнительно использовать нестандартные символы и пробелы.

А теперь я попробую ввести 20-ти значный пароль:

Результат уже получше будет:

Пароль является больше 16-ти знаков, поэтому все хорошо.
Мой пароль является нестандартным, так как содержит в себе нестандартные символы (пробел).
По расчетам системы, мой пароль взломают за 1 квинтиллион лет (это единица с 18 нулями).

Кстати, если мы вводим русские символы, сервис считает это нестандартным решением.

Также сервис предлагает создать пароль автоматически:

В этом уроке расскажу как проверить надежность введенного пароля. Для этих целей мы будем использовать специальный сервис от "Лаборатории Касперского" под названием "Secure Password Check"

Находится он по адресу www.password.kaspersky.com/ru . Если при открытии сайта у вас все на английском, то в правом верхнем углу в списке выберите "Русский".

Этот сервис позволяет проверить на сколько сложный у вас пароль и как быстро его можно взломать. Для проверки вводим свой пароль в специальное поле.

После введения своего пароля, ниже появится шкала надежности, рекомендации по его усилению, а также информация о том как быстро его можно будет взломать.

Вот таким образом вы можете проверить свой пароль перед тем как его использовать. Экспериментируйте и создавайте свой уникальный надежный пароль. В качестве рекомендации от меня - всегда используйте буквы верхнего и нижнего регистра, а также цифры и спецсимволы.

В интернете достаточно большое количество сервисов, которые позволяют объединить несколько PDF файлов в один, но большинство из них имеет свои недостатки. Какие-то сервисы имеют ограничения на размер загружаемых файлов, а другие и вовсе делают это криво. Поэтому сегодня разберем сервис SmallPDF, который делает это максимально правильно.

В прошлых уроках я уже рассказал о двух способах как открыть заблокированный сайт с помощью функции турбо в брайзерах Опера и Яндекс . Сегодня продолжим разговаривать на эту тему и на очереди очень интересный способ, который позволит получить доступ к заблокированным сайтам .

Сегодня расскажу как отправить приватное сообщение, которое удалится после прочтения. Речь пойдет о сервисе под названием Privnote - этот сервис позволяет оправлять сообщения, которые могут быть уничтожены сразу же после прочтения.

Из этого видеоурока вы узнаете как можно проверить скорость интернета на вашем компьютере с помощью специального сервиса.