Які бувають паролі? Використання простого пароля Види паролів

Який пароль?

Кожен стикався з проблемою вибору пароля – password.

І щоб не загубився в пам'яті, і щоб ніхто обурювався, і щоб був імітостійким – незламним. Про шифри і паролі можна написати дуже багато. Однак, крім унікального і «правильно» складеного пароля, необхідно ще методично грамотно організувати його зберігання та адміністрацію. З іншого боку - параноя, та ще й якщо його забути... .

Зламати пароль складно, але можна. Ускладнити роботу хакерів можна досить серйозно.

«Одна» з найбільших соціальних мережповідомила, що практично щодня з понад мільярда спроб увійти до системи понад 600 тисяч роблять зловмисники, які намагаються отримати доступ до чужих повідомлень, фотографій та іншої персональної інформації.

Американська інтернет компанія SplashData склала список безглуздих і ненадійних паролів, що використовуються людьми у всьому світі. На жаль, багато користувачів користуються саме ними – щоб було нескладно запам'ятати.

Найбільш ідіотським і водночас небезпечним став пароль "password" (пароль).

На другому місці – поєднання цифр "123456", на третьому – "12345678". Затесалися до рейтингу слова "футбол" та "супермен".

12345678

trustno1

baseball

iloveyou

sunshine

passw0rd

superman

Експерти закликають бути уважнішими і не використовувати один і той же пароль від пошти, інтернет-банку та інших онлайн-сервісів. Експерти в області інформаційної безпекипопередили користувачів про те, що не варто використовувати ту саму пару "логін-пароль" для декількох різних сайтів. Надійний пароль повинен містити не менше восьми символів включати цифри та літери у верхньому та нижньому регістрі, а також спеціальні символи(наприклад, підкреслення, долар або відсоток).

Зламати програмно набагато простіше прості паролі, а ось складні методом перебору дуже складно.

Проста порада щодо вибору щодо складного пароля.

Беремо будь-яке слово. Допустимо ім'я коханого або кличку домашнього улюбленця. Перемикаємо клавіатуру англійською мовою.

Дивимося на російські літери та набираємо це незабутнє ім'я.

Звісно, з великої літери!

Наприклад кличка пса Шарик перетворюється на Ifhbr

Ім'я Міранда -> Vbhfylf

І запам'ятати легко і підібрати/зламати досить важко.

Для ускладнення можна використовувати назву улюбленої книжки (пісні тощо). Причому, якщо в назві є чисельне – це чудово! Адже це числівник можна і навіть потрібно написати саме цифрою. При цьому пропуски можна пропускати або замінювати знаком підкреслення _

Наприклад:

3veirtnthf -> Три мушкетери

100ktnjlbyjxtcndf -> Сто років самотності.

123456, 11111 і т.д.

qwerty, фива, авс, "пароль" / "password" і т.д.

ім'я (своє, близьких, домашнього вихованця...)

дату народження (свою, близьких, домашнього вихованця...)

номер телефону

А також:

мінімальна прийнятна довжина пароля - 8 символів

пароль має бути безглуздим

Чому це так важливо при виборі пароля?

Розглянемо кожну з цих позицій окремо.

Коротко за першими 2-ма пунктами. Ці паролі елементарні, поширені і відомі будь-якому зломщику, будьте впевнені – це перше, що спробує людина, яка намагається зламати ваш обліковий запис.

Щоб отримати уявлення по інших позиціях, поринемо в глиб проблеми і спробуємо на все подивитися зсередини.

Будь-який пароль, який ви вводите при реєстрації перед тим, як потрапити до сховища, обов'язково шифрується. Існує багато алгоритмів такого шифрування. На прикладі найпоширенішого з них, одностороннього MD5 шифрування, відстежимо шлях нашого пароля від реєстрації до його злому.

Отже, після шифрування наш пароль набуває вигляду ХЕШ'а (контрольної суми), який у нашому випадку складається з 32, спеціально отриманих, символів і має вигляд наприклад: «202cb962ac59075b964b07152d234b70» для пароля «123».

Якщо зломщику вдається отримати доступ до сховища та отримати ХЕШ'і наших паролів. То перед ним постає завдання щодо їх розшифровки. У цьому йому допоможе спеціальний софт, який легко можна знайти в інтернеті.

Будь-яка програма для розшифровування паролів такого типу діє методом перебору: повним (Brute force – Грубої сили), за словами маски. На виконання цього завдання, залежно від складності та грамотності складеного пароля, може піти від кількох секунд до кількох діб, місяців і навіть років.

Використовуючи стандартний ПК (CPU: 3 ГГц) та софт (PasswordPro) «Будинок порад» вирішив протестувати на стійкість лінійку паролів різної довжини та складу.

Отже, першими здадуться паролі, що складаються з цифр.

Пароль: "1234"; час перебору< 1 c.

Пароль: "1234894"; час перебору< 1 c.

Трохи довше протримаються буквені паролі.

Пароль: adfp; час перебору = 2 с.

Пароль: adrpsdq; час перебору = 22 хв. 1 с.

Комбінація малих і великих букв відчутно збільшить час, але все одно воно залишається недостатнім, якщо врахувати, що над розшифровкою можуть працювати відразу кілька ПК.

Пароль: abst; час перебору = 5 с.

Пароль: "fdQnnHF"; час перебору = 1 день, 22 год. 13 хв.

І ідеальним варіантом буде комбінація із великих, малих літер, цифр, спеціальних символів (зазвичай це «-» і «_») і з довжиною щонайменше 6 символів.

Пароль: As_3; час перебору = 7 с.

Пароль: "fN4u-3k"; час перебору = 11 днів, 13 год. 27 хв.

Пароль: "fN4u-3kS8"; час перебору >1 року.

Перебір може виконуватися не тільки шляхом періодичного комбінування друкованих символів, але й за певним списком слів, базою паролів, яка може включати як словник, наприклад, Даля або паролі користувачів вкрадені з інших сайтів, так і ваші особисті дані передбачливо знайдені в інтернеті. Тому важливо щоб пароль не мав змила і не містив такі очевидні дані як день, місяць, рік вашого народження, імена ваші і ваших близьких і т.п.

Чи безпечно зберігати пароль на комп'ютері?

Ні. Існує безліч програм (Trojans, Keyloggers), які здатні здійснити пошук цінних файлів на вашому жорсткому диску, підключеній флеш-карті або конспектувати натиснуті вами клавіші і надсилати здобуту інформацію до свого власника.

Зламати пароль. Можна, а тепер складно.

Навіть якщо вас захищає Фаірвол (Firewall) та антивірус з останнім оновленням, то краще перестрахуватися та зберігати дійсно важливу інформацію у паперовому блокноті.

А ще є буква е!

Який пароль вибрати.

Перечитавши масу супутньої літератури і переглянувши тонну хабратопіків (посилання на цікаві наведені в кінці статті), я вирішив узагальнити інформацію про основні методи генерації надійного пароля, що запам'ятовується.

Почну з того, що для генерації та зберігання своїх паролів сам я користуюся чудовою програмою KeePass. Її функціоналу цілком вистачає для всіх моїх скромних вебмайстерень. Основним її недоліком є той факт, що вона також вимагає запам'ятовувати один головний пароль. Тому вся ця метушня навколо вигадування пароля також стосується мене та всіх щасливих власників програми KeePass або її аналогів, т.к. один пароль вигадати все-таки доведеться.

Поговоримо про методи злому

Щоб розуміти всю глибину проблеми, кілька рядків присвячую методиці злому. Отже, як зловмисник може дізнатися/відгадати/підібрати ваш пароль?

Метод логічного вгадування. Працює у системах з великою кількістю користувачів. Зловмисник намагається зрозуміти вашу логіку при складанні пароля (логін+2 символи, логін навпаки, найпоширеніші паролі тощо) та застосовує цю логіку до всіх користувачів. Якщо користувачів багато, дуже скоро станеться колізія і пароль буде вгадано;
Перебір за словником. Цей вид атаки застосовується, коли база даних із хешованими паролями злита з сервера. Може поєднуватися із заміною букв (помилки) або з підстановкою цифр/слів на початок або кінець слова як приставка або суфікс. Також використовуються словники, набрані в неправильному розкладанні клавіатури (російські слова в англійській розкладці);
Перебір таблиці хешованих паролів. Передовий спосіб злому паролів, коли хеші вже згенеровані і залишається лише визначити в основі відповідність хешу паролю. Працює дуже швидко навіть на слабких машинах та не залишає жодних шансів власникам коротких паролів.
Інші методи: соціотехніка та соціальний інжиніринг, використання keylogger"ів, сніферів, троянів і т.п.

Надійність пароля

Узагальнюючи інформацію, отриману з різних достовірних джерел, я виокремлю основні ознаки стійкого до злому пароля (під зломом я маю на увазі перебір за базами хешів, коли алгоритм хешування заздалегідь відомий):

Довжина пароля (що більше, тим краще), для запущених випадків рекомендують використовувати 15-ти символовий пароль;
Відсутність словникових слів та частин поширених паролів у складі пароля;
Відсутність шаблонів під час складання пароля (під шаблоном розумію логічний алгоритм генерації пароля, наприклад: «Med777ведев», «12@йцу@21» і навіть «q1w2e3r4t5»);
Стохастичні послідовності символів з різних груп (малі, великі, цифри, розділові знаки та спец-символи);

Однак, усі ми люди з досить обмеженими здібностями до запам'ятовування нескладної інформації, тому паролі, які підходять під вищеописані параметри, хоч і будуть стійкими до злому з одного боку, але, з іншого боку, їх дуже непросто запам'ятати. Тому розглянемо менш параноїдальні варіанти складання та запам'ятовування паролів.

Як народ запам'ятовує свої паролі?

Проаналізувавши способи генерації паролів хабралюдей, я дійшов висновку, що основна методологія запам'ятовування пароля полягає в складанні логічного чи асоціативного ряду. Також використовуються різні спотворення слів. Це можуть бути:

Назви домену упереміж із логіном («gooUSERglcom», «UmailruSer»);
Певна стандартна фраза, яка прикріплюється до домену (passgoogleru, passhabrahabrru);
Поширене слово упереміж зі значущими цифрамита іншими знаками («321DR67ag0On», де 32167 – чит, який викликав 5 чорних драконів у Heroes of Might & Magic);
Російські слова в англійській розкладці («k.lj)